NginRAT

Os cibercriminosos estão implantando uma nova ameaça de Trojan de Acesso Remoto (RAT) chamada NginRAT em ataques contra servidores de comércio eletrônico. O objetivo da operação ameaçadora é coletar informações de cartão de pagamento de lojas online comprometidas. Até agora, as vítimas do NginRAT foram identificadas na América do Norte, Alemanha e França.

As técnicas de evasão empregadas pelo NginRAT o tornam extremamente difícil ser detectado pelas soluções de segurança. A ameaça sequestra o aplicativo Nginx do host, modificando a funcionalidade central do sistema host Linux. Mais especificamente, sempre que o servidor da Web Nginx legítimo executa uma funcionalidade, como dlopen, o NginRAT a intercepta e se injeta. Como resultado, o RAT se torna indistinguível de um processo legítimo.

De acordo com a empresa de segurança que analisou a ameaça do NginRAT, existe uma maneira de mostrar os processos comprometidos. A ameaça usa LD_L1BRARY_PATH (com um erro de digitação), então os pesquisadores recomendam executar o seguinte comando:

$ sudo grep -al LD_L1BRARY_PATH /proc/*/environ | grep -v self/

/proc/17199/environ

/proc/25074/environ

Eles também descobriram que o NginRAT foi entregue aos servidores visados por outro malware RAT chamado CronRAT. As duas ameaças cumprem a mesma função - fornecer acesso à máquina infectada através de um backdoor, mas contam com métodos diferentes. Por exemplo, o CronRAT oculta seu código corrompido em tarefas agendadas válidas, que nunca serão executadas porque estão definidas para serem executadas em datas inexistentes, tais como 31 de fevereiro.

Como as duas ameaças foram observadas ao mesmo tempo, se o NginRAT for encontrado em um servidor, os administradores também devem verificar as tarefas cron em busca de sinais de um código corrompido que pode estar oculto lá pelo CronRAT.