クリスマスと関連するすべてのオンラインショッピングに間に合うように、新しいデータ盗用マルウェアが検出されました. サーバーを直接侵害するデータスティーラーの傾向は続いているようです.
CronRATは、そのようなサーバー側のマルウェアの1つです。, 11月末に報告されました. CronRATは、特定のLinuxカレンダーシステムに隠れています, 存在しない日付, 2月31日, 一方、この新しいスティーラーはNginxサーバーをターゲットにしています. どうやら, 米国のeコマースプラットフォーム, ドイツとフランス (すべての非常に収益性の高いターゲット) 攻撃を受けています.
野生で検出された新しいサーバーサイドMagecart: NginRAT
マルウェアはNginRATと呼ばれています. Sansecのレポートによると, 「この新しいコードは、ホストのNginxアプリケーションに挿入され、ほとんど見えません。」もちろん, 目的は、eコマースサーバーからデータを収集することです, サーバー側のMagecartとして知られる攻撃の一種.
NginRATはどのように動作しますか? 初め, ホストのNginxアプリケーションを引き継ぎ、その存在を隠すためにコア機能の一部を変更します. 正規のNginxサーバーがそのような機能を利用する場合, マルウェアは、Nginxプロセスに埋め込まれたリモートアクセス型トロイの木馬の形で自身を注入します. 典型的なeコマースサーバーにはそのようなプロセスが多数あることに注意してください. 事態をさらに悪化させるのは、悪意のあるものが他のものとまったく同じように見えることです.
そう, NginRATをどのように検出できますか?
「NginRATは正当なNginxホストプロセスに組み込まれているためです, 標準の/proc/ PID/exeはNginxを指します, マルウェアではありません. また, ライブラリコードがディスクに書き込まれることはなく、起動後に調べることもできません. でも, LD_L1BRARY_PATHの使用 (タイプミスあり) この特定のNginRATバージョンの存在を明らかにする可能性があります,」 サンセックは言った.
これは、過去数週間にセキュリティ研究者によって開示された2番目のサーバーサイドMagecartマルウェアです。. プレゼントの季節だと思って, より進化したデータスティーラーとスキマーの出現を確実に期待する必要があります.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: