Net op tijd voor Kerstmis en al het gerelateerde online winkelen is een nieuwe malware voor het stelen van gegevens gedetecteerd. Het lijkt erop dat de trend van data-stealers die servers rechtstreeks compromitteren, zich voortzet.
CronRAT is nog zo'n server-side malware, die eind november werd gemeld. CronRAT verbergt zich in het Linux-kalendersysteem op een bepaalde, niet-bestaande datum, 31 februari, terwijl deze nieuwe stealer zich richt op Nginx-servers. Blijkbaar, e-commerceplatforms in de Verenigde Staten, Duitsland en Frankrijk (allemaal zeer winstgevende doelen) zijn aangevallen.
Nieuwe server-side Magecart gedetecteerd in het wild: NginRAT
De malware is NginRAT . genoemd. Volgens het rapport van Sansec, "deze nieuwe code injecteert zichzelf in een host-Nginx-toepassing en is bijna onzichtbaar." Natuurlijk, het doel is het verzamelen van gegevens van e-commerceservers, een type aanval dat bekend staat als server-side Magecart.
Hoe werkt NginRAT?? Eerste, het neemt een host-Nginx-applicatie over en wijzigt enkele van zijn kernfunctionaliteiten om zijn aanwezigheid te verbergen. Wanneer de legitieme Nginx-server dergelijke functionaliteit gebruikt, de malware injecteert zichzelf in de vorm van een trojan voor externe toegang die is ingebed in het Nginx-proces. Opgemerkt moet worden dat er tal van dergelijke processen zijn op een typische e-commerceserver. Wat de zaken nog erger maakt, is dat de kwaadwillende er precies zo uitziet als de anderen.
Dus, hoe kan de NginRAT worden gedetecteerd??
“Omdat NginRAT zichzelf insluit in een legitiem Nginx-hostproces, de standaard /proc/PID/exe zal verwijzen naar Nginx, niet tegen de malware. Ook, de bibliotheekcode wordt nooit naar de schijf geschreven en kan na de lancering niet worden onderzocht. Echter, het gebruik van LD_L1BRARY_PATH (met typefout) kan de aanwezigheid van deze specifieke NginRAT-versie onthullen," Sansec zei.
Dit is de tweede server-side Magecart-malware die de afgelopen weken door beveiligingsonderzoekers is onthuld. Gezien het feit dat het de tijd van geschenken is, we zouden zeker de opkomst van meer geëvolueerde data-stealers en skimmers moeten verwachten.