Las plataformas de comercio electrónico de Estados Unidos, Alemania y Francia han sido atacadas por un nuevo malware que se dirige a los servidores Nginx en un intento de encubrir su presencia y pasar desapercibido para las soluciones de seguridad tradicionales y realizar robos de datos masivos.
Esta nueva amenaza recibió el nombre de NginRAT, una combinación de la aplicación a la que se dirige y las capacidades de acceso remoto que proporciona, y está siendo utilizada en ataques del lado del servidor para robar datos de tarjetas de pago de las tiendas online. NginRAT se encontró en servidores de comercio electrónico de Norteamérica y Europa que habían sido infectados con CronRAT, un troyano de acceso remoto (RAT) que esconde cargas útiles en tareas programadas para ejecutarse en un día no válido del calendario.
Tanto CronRAT como NginRAT están diseñados para proporcionar una forma remota de entrar en los servidores comprometidos, y el objetivo de las intrusiones es realizar modificaciones en el lado del servidor de los sitios web de comercio electrónico comprometidos de manera que los adversarios puedan exfiltrar datos mediante la sustracción de formularios de pago en línea.
Los investigadores de la empresa de seguridad Sansec, explican que el nuevo malware se entrega mediante el uso de CronRAT, aunque ambos cumplen la misma función: proporcionar acceso remoto al sistema comprometido. Quienquiera que esté detrás de estas cepas de este malware, las está utilizando para modificar el código del lado del servidor que les permitió registrar los datos enviados por los usuarios (solicitudes POST). Sansec pudo estudiar el NginRAT tras crear un CronRAT personalizado y observar los intercambios con un servidor de comando y control (C2) ubicado en China.
Además de ello, los investigadores engañaron al C2 para que enviara y ejecutara una carga útil de biblioteca compartida falsa, como parte de la interacción maliciosa normal, disfrazando al NginRAT de «una pieza de malware más avanzada».
Al final del proceso, el Nginx incrusta el malware del acceso remoto de una manera que hace prácticamente imposible distinguirlo de un proceso legítimo.
En el informe técnico, Sansec se explica que NginRAT llega a un sistema comprometido con la ayuda de CronRAT a través del comando personalizado «dwn» que descarga la biblioteca maliciosa del sistema Linux en la ubicación «/dev/shm/php-shared». A Luego de ese procedimiento, la biblioteca se ejecuta utilizando la función de depuración «LD_PRELOAD» de Linux, el cual se suele utilizar para probar las bibliotecas del sistema.
Probablemente para encubrir la ejecución, el actor de la amenaza también añadió la opción «help» varias veces al final. Al ejecutar el comando se inyecta el NginRAT en la aplicación Nginx del host. Y debido a que NginRAT se esconde como un proceso normal de Nginx y el código existe sólo en la memoria del servidor, detectarlo puede ser un desafío.
Más información
https://sansec.io/research/nginrat
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
