Nel corso degli ultimi giorni un nuovo malware, denominato NginRAT, sta dando non poco filo da torcere a diverse piattaforme di e-commerce in Francia, Germania e Stati Uniti. Prende di mira i server Nginx con l’obiettivo di rubare i dati di pagamento presenti sui server del portale di riferiemento.
NginRAT mira ai server Nginx per rubare dati sensibili
La cosa è stata segnalata dai ricercatori di sicurezza di Sansec, i quali hanno evidenziato come il codice malevolo in questione venga iniettato in un host con Nginx per incorporarsi nel processo del server Web e che risulta quasi invisibile e viene adoperato per trafugare dati sensibili. Al riguardo, i ricercatori hanno rilasciato la seguente dichiarazione:
NginRAT essenzialmente dirotta un’applicazione Nginx host per mascherare la sua presenza. Per fare ciò, NginRAT modifica le funzionalità principali del sistema host Linux. Quando il server web Nginx legittimo utilizza tale funzionalità (ad esempio dlopen), NginRAT si inietta da solo. Il risultato è un trojan di accesso remoto incorporato nel processo Nginx. Su un tipico server web di eCommerce, ci sono molti processi Nginx. E la canaglia Nginx assomiglia proprio agli altri.
Da notare che il malware viene distribuito tramite CronRAT (che è un’altra minaccia informatica rilevata nei giorni scorsi) che sfrutta cronjob malevoli schedulati per l’esecuzione il 31 febbraio, un giorno di calendario inesistente.
Sia CronRAT che NginRAT sono progettati per fornire un accesso remoto ai server che ospitano gli ecommerce: l’obiettivo è quello di compromettere il server per riuscire ad appropriarsi dei dati di pagamento raccolti via form online, sfruttando la tecnica dello skimming, che è un sistema adottato per clonare di carte di credito.