一种名为 NginRAT 的新型恶意软件正在针对电子商务服务器,利用 Nginx 进程隐藏自身,从在线商店窃取支付卡数据。NginRAT 与 CronRAT 结合,通过修改服务器端代码实现远程访问。这种恶意软件在内存中运行,使用 LD_PRELOAD 和 LD_LIBRARY_PATH 变量,使得检测变得困难。管理员可以通过检查特定命令和 cron 任务来检测是否存在 NginRAT。
电子商务服务器正以远程访问恶意软件为目标,该恶意软件隐藏在 Nginx 服务器上,使其对安全解决方案几乎不可见。
该威胁被命名为 NginRAT,它结合了它所针对的应用程序和它提供的远程访问功能,并被用于服务器端攻击,以从在线商店窃取支付卡数据。
NginRAT 被发现在感染了CronRAT 的北美和欧洲的电子商务服务器上,CronRAT 是 一种远程访问木马 (RAT),将有效负载隐藏在计划在日历的无效日期执行的任务中。
NginRAT 已经感染了美国、德国和法国的服务器,在那里它注入了与合法进程无法区分的 Nginx 进程,从而使其不被发现。
RAT 支持服务器端代码修改
安全公司 Sansec 的研究人员解释说,新的恶意软件是由 CronRAT 提供的,尽管它们都实现了相同的功能:提供对受感染系统的远程访问。
Sansec 威胁研究主管 Willem de Groot 告诉 BleepingComputer,虽然使用非常不同的技术来保持隐身,但两种 RAT 似乎具有相同的作用,充当保留远程访问的备份。
这些恶意软件的幕后黑手正在使用它们来修改服务器端代码,以允许它们记录用户提交的数据(POST 请求)。
在创建自定义 CronRAT 并观察与位于中国的命令和控制服务器 (C2) 的交换后,Sansec 能够研究 NginRAT。
作为正常恶意交互的一部分,研究人员欺骗 C2 发送和执行流氓共享库有效负载,伪装 NginRAT“更高级的恶意软件”。
“NginRAT 本质上是劫持主机 Nginx
最低0.47元/天 解锁文章
扫一扫
1904
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
