Blog

NginRAT: El nuevo malware que se esconde en un proceso de Nginx en servidores Linux para el robo de datos

Las plataformas de comercio electrónico de Estados Unidos, Alemania y Francia han sido atacadas por un nuevo malware que se dirige a los servidores Nginx en un intento de encubrir su presencia y pasar desapercibido para las soluciones de seguridad tradicionales y realizar robos de datos masivos.

Esta nueva amenaza recibió el nombre de NginRAT, una combinación de la aplicación a la que se dirige y las capacidades de acceso remoto que proporciona, y está siendo utilizada en ataques del lado del servidor para robar datos de tarjetas de pago de las tiendas online. NginRAT se encontró en servidores de comercio electrónico de Norteamérica y Europa que habían sido infectados con CronRAT, un troyano de acceso remoto (RAT) que esconde cargas útiles en tareas programadas para ejecutarse en un día no válido del calendario.

Tanto CronRAT como NginRAT están diseñados para proporcionar una forma remota de entrar en los servidores comprometidos, y el objetivo de las intrusiones es realizar modificaciones en el lado del servidor de los sitios web de comercio electrónico comprometidos de manera que los adversarios puedan exfiltrar datos mediante la sustracción de formularios de pago en línea.

Los investigadores de la empresa de seguridad Sansec, explican que el nuevo malware se entrega mediante el uso de CronRAT, aunque ambos cumplen la misma función: proporcionar acceso remoto al sistema comprometido. Quienquiera que esté detrás de estas cepas de este malware, las está utilizando para modificar el código del lado del servidor que les permitió registrar los datos enviados por los usuarios (solicitudes POST). Sansec pudo estudiar el NginRAT tras crear un CronRAT personalizado y observar los intercambios con un servidor de comando y control (C2) ubicado en China.

Además de ello, los investigadores engañaron al C2 para que enviara y ejecutara una carga útil de biblioteca compartida falsa, como parte de la interacción maliciosa normal, disfrazando al NginRAT de «una pieza de malware más avanzada».

Al final del proceso, el Nginx incrusta el malware del acceso remoto de una manera que hace prácticamente imposible distinguirlo de un proceso legítimo.

En el informe técnico, Sansec se explica que NginRAT llega a un sistema comprometido con la ayuda de CronRAT a través del comando personalizado «dwn» que descarga la biblioteca maliciosa del sistema Linux en la ubicación «/dev/shm/php-shared». A Luego de ese procedimiento, la biblioteca se ejecuta utilizando la función de depuración «LD_PRELOAD» de Linux, el cual se suele utilizar para probar las bibliotecas del sistema.

Probablemente para encubrir la ejecución, el actor de la amenaza también añadió la opción «help» varias veces al final. Al ejecutar el comando se inyecta el NginRAT en la aplicación Nginx del host. Y debido a que NginRAT se esconde como un proceso normal de Nginx y el código existe sólo en la memoria del servidor, detectarlo puede ser un desafío.

Más información

https://sansec.io/research/nginrat

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required