NginRAT

Les cybercriminels déploient une nouvelle menace de cheval de Troie d'accès à distance (RAT) nommée NginRAT dans les attaques contre les serveurs de commerce électronique. L'objectif de l'opération menaçante est de collecter des informations sur les cartes de paiement des magasins en ligne compromis. Jusqu'à présent, des victimes de NginRAT ont été identifiées en Amérique du Nord, en Allemagne et en France.

Les techniques d'évasion utilisées par NginRAT rendent extrêmement difficile d'être attrapé par les solutions de sécurité. La menace détourne l'application Nginx de l'hôte en modifiant la fonctionnalité principale du système hôte Linux. Plus précisément, chaque fois que le serveur Web Nginx légitime exécute une fonctionnalité, telle que dlopen , NginRAT l'intercepte et s'injecte. En conséquence, le RAT devient impossible à distinguer d'un processus légitime.

Selon la société de sécurité qui a analysé la menace NginRAT, il existe un moyen de montrer les processus compromis. La menace utilise LD_L1BRARY_PATH (avec une faute de frappe), les chercheurs recommandent donc d'exécuter la commande suivante :

$ sudo grep -al LD_L1BRARY_PATH /proc/*/environ | grep -v soi/

/proc/17199/environ

/proc/25074/e nviron

Ils ont également découvert que NginRAT avait été transmis aux serveurs ciblés par un autre logiciel malveillant RAT nommé CronRAT. Les deux menaces remplissent le même rôle - fournir un accès backdoor à la machine infectée, mais elles reposent sur des méthodes différentes. Par exemple, CronRAT cache son code corrompu dans des tâches planifiées valides qui ne seront jamais exécutées car elles sont configurées pour s'exécuter à des dates inexistantes telles que le 31 février.

Étant donné que les deux menaces ont été observées en même temps, si NginRAT est trouvé sur un serveur, les administrateurs doivent également vérifier les tâches cron à la recherche de signes d'un code corrompu qui pourrait y être caché par CronRAT.