NginRAT gemmer sig i Nginx-processer

Cyberkriminelle er ofte afhængige af en kombination af ondsindede implantater, selvom deres træk har en tendens til at overlappe hinanden. Dette ser ud til den strategi, som skaberne af den nyligt opdagede NginRAT bruger. Kopier af denne malware blev gendannet fra e-handelsservere, der tidligere var inficeret med CronRAT-prøven. Sidstnævnte er også ret nyt, og det blev først rapporteret i den sidste uge af november 2021. NginRAT ser ud til primært at målrette mod e-handelstjenester, og den er aktiv i Nordamerika og Europa.

NginRAT forklæder sin aktivitet som Nginx-processen

Navnet NginRAT blev valgt, fordi denne Remote Access Trojan (RAT) ser ud til at kapre procesnavnet på Nginx-tjenesten. Dette er et simpelt trick til at sløre sig selv og gøre det sværere at få øje på dets tilstedeværelse – de fleste administratorer vil ikke mistænke en Nginx-proces for at være farlig.

Mens både NginRAT og CronRAT har lignende egenskaber, ser det ud til, at NginRAT altid blev leveret via sidstnævnte. Begge nyttelast er målrettet mod e-handelsservere, der udelukkende kører Linux. Det er sandsynligt, at de kriminelle udnytter svage loginoplysninger eller sårbarheder i forældede internettjenester.

Denne Remote Access Trojan gør det muligt for sine operatører at udføre kommandoer eksternt og sende dem gennem deres kommando-og-kontrol-server. Da begge nyttelaster har identiske funktioner, er det sandsynligt, at NginRAT er beregnet til at tjene som backup, hvis den primære nyttelast bliver opdaget. Systemadministratorer bør beskytte deres netværk mod NginRAT- og CronRAT-nyttelasterne ved at bruge opdaterede sikkerhedstjenester og firewall. At anvende de seneste opdateringer til al software er selvfølgelig også en af de bedste sikkerhedsforanstaltninger at tage.