NginRAT, un nuevo parásito que pone en el objetivo a servidores Nginx

NginRAT es un nuevo parásito descubierto por el equipo de investigación de amenazas de Sansec, que se esconde en servidores Nginx en un intento de enmascarar su presencia y pasar por alto la detección de las soluciones de seguridad. 

«Este código novedoso se inyecta a sí mismo en una aplicación host de Nginx y es casi invisible«, dicen desde Sansec en un nuevo informe. El parásito se utiliza para robar datos de servidores de comercio electrónico de Estados Unidos, Alemania y Francia en un proceso conocido como ‘Magecart del lado del servidor’.

NginRAT funciona secuestrando una aplicación de host Nginx para integrarse en el proceso del servidor web. Como sabes, Nginx es un software muy popular por su gratuidad y código abierto, que además de servidor web, también se puede utilizar como proxy inverso, equilibrador de carga, proxy de correo y caché HTTP.

El troyano de acceso remoto se entrega a través de CronRAT , otra pieza de malware que la firma holandesa de ciberseguridad reveló la semana pasada. Oculta sus cargas útiles maliciosas en trabajos cron programados para ejecutarse el 31 de febrero, un día inexistente en el calendario.

Tanto CronRAT como NginRAT están diseñados para proporcionar una vía remota a los servidores comprometidos, y el objetivo de las intrusiones es realizar modificaciones del lado del servidor en los sitios web de comercio electrónico de una manera que permita a los adversarios ex-filtrar datos mediante los pagos en línea.

Los ataques, conocidos colectivamente como Magecart o web skimming, son el trabajo de un sindicato de delitos cibernéticos compuesto por docenas de subgrupos que están involucrados en el robo de tarjetas de crédito digitales mediante la explotación de vulnerabilidades de software para obtener acceso al código fuente de un portal en línea e insertar código JavaScript malicioso que extrae los datos que ingresan los compradores en las páginas de pago.

«Los grupos de skimmer están creciendo rápidamente y apuntando a las plataformas de comercio electrónico utilizando una variedad de formas para pasar desapercibidos«, señalaron los investigadores de Zscaler en un análisis de las últimas tendencias de Magecart publicado a principios de este año.

La entrada NginRAT, un nuevo parásito que pone en el objetivo a servidores Nginx es original de MuySeguridad. Seguridad informática.