NginRAT se esconde en los procesos de Nginx

Los ciberdelincuentes a menudo confían en una combinación de implantes maliciosos, incluso si sus características tienden a superponerse. Esta parece ser la estrategia que utilizan los creadores del recién descubierto NginRAT. Se recuperaron copias de este malware de servidores de comercio electrónico que estaban previamente infectados con la muestra CronRAT. Este último también es bastante nuevo, y se informó por primera vez en la última semana de noviembre de 2021. El NginRAT parece apuntar principalmente a servicios de comercio electrónico también, y está activo en América del Norte y Europa.

NginRAT disfraza su actividad como el proceso Nginx

Se seleccionó el nombre NginRAT porque este troyano de acceso remoto (RAT) parece secuestrar el nombre del proceso del servicio Nginx. Este es un truco simple para ocultarse y hacer que sea más difícil detectar su presencia; la mayoría de los administradores no sospecharían que un proceso de Nginx sea peligroso.

Si bien tanto NginRAT como CronRAT tienen propiedades similares, parece que NginRAT siempre se entregó a través de este último. Ambas cargas útiles se dirigen a servidores de comercio electrónico que ejecutan Linux exclusivamente. Es probable que los delincuentes estén explotando credenciales de inicio de sesión débiles o vulnerabilidades presentes en servicios obsoletos orientados a Internet.

Este troyano de acceso remoto permite a sus operadores ejecutar comandos de forma remota, enviándolos a través de su servidor de comando y control. Dado que ambas cargas útiles tienen características idénticas, es probable que NginRAT sirva como respaldo en caso de que se descubra la carga útil principal. Los administradores del sistema deben proteger sus redes de las cargas útiles de NginRAT y CronRAT mediante el uso de servicios de seguridad y firewall actualizados. Por supuesto, aplicar las últimas actualizaciones para todo el software también es una de las mejores medidas de seguridad a tomar.