NginRAT

I criminali informatici stanno implementando una nuova minaccia Remote Access Trojan (RAT) denominata NginRAT negli attacchi contro i server eCommerce. L'obiettivo dell'operazione minacciosa è raccogliere informazioni sulla carta di pagamento dai negozi online compromessi. Finora, vittime di NginRAT sono state identificate in Nord America, Germania e Francia.

Le tecniche di evasione impiegate da NginRAT rendono estremamente difficile essere catturati dalle soluzioni di sicurezza. La minaccia dirotta l'applicazione Nginx dell'host modificando la funzionalità principale del sistema host Linux. Più specificamente, ogni volta che il server Web Nginx legittimo esegue una funzionalità, come dlopen , NginRAT lo intercetta e si autoinietta. Di conseguenza, il RAT diventa indistinguibile da un processo legittimo.

Secondo la società di sicurezza che ha analizzato la minaccia NginRAT, c'è un modo per mostrare i processi compromessi. La minaccia utilizza LD_L1BRARY_PATH (con un errore di battitura), quindi i ricercatori consigliano di eseguire il seguente comando:

$ sudo grep -al LD_L1BRARY_PATH /proc/*/environ | grep -v self/

/proc/17199/ambiente

/proc/25074/e nviron

Hanno anche scoperto che NginRAT è stato consegnato ai server di destinazione da un altro malware RAT chiamato CronRAT. Le due minacce svolgono lo stesso ruolo, fornendo accesso backdoor alla macchina infetta, ma si basano su metodi diversi. Ad esempio, CronRAT nasconde il suo codice danneggiato in attività pianificate valide che non verranno mai eseguite perché sono impostate per essere eseguite in date inesistenti come il 31 febbraio.

Poiché è stato osservato che entrambe le minacce sono presenti contemporaneamente, se NginRAT viene trovato su un server, gli amministratori dovrebbero anche controllare le attività cron per i segni di un codice corrotto che potrebbe essere nascosto lì da CronRAT.