NginRAT se cache dans les processus Nginx
Les cybercriminels s'appuient souvent sur une combinaison d'implants malveillants, même si leurs fonctionnalités ont tendance à se chevaucher. Cela semble être la stratégie utilisée par les créateurs du NginRAT nouvellement repéré. Des copies de ce malware ont été récupérées à partir de serveurs de commerce électronique précédemment infectés par l'échantillon CronRAT. Ce dernier est également assez nouveau, et il a été signalé pour la première fois au cours de la dernière semaine de novembre 2021. Le NginRAT semble cibler principalement les services de commerce électronique également, et il est actif en Amérique du Nord et en Europe.
NginRAT déguise son activité en processus Nginx
Le nom NginRAT a été sélectionné car ce cheval de Troie d'accès à distance (RAT) semble détourner le nom de processus du service Nginx. Il s'agit d'une astuce simple pour se dissimuler et rendre plus difficile la détection de sa présence - la plupart des administrateurs ne soupçonneraient pas un processus Nginx d'être dangereux.
Bien que le NginRAT et le CronRAT aient des propriétés similaires, il semble que le NginRAT ait toujours été livré via ce dernier. Les deux charges utiles ciblent les serveurs de commerce électronique exécutant exclusivement Linux. Il est probable que les criminels exploitent des identifiants de connexion faibles ou des vulnérabilités présentes dans des services Internet obsolètes.
Ce cheval de Troie d'accès à distance permet à ses opérateurs d'exécuter des commandes à distance, en les envoyant via leur serveur de commande et de contrôle. Étant donné que les deux charges utiles ont des caractéristiques identiques, il est probable que le NginRAT soit destiné à servir de sauvegarde au cas où la charge utile principale serait découverte. Les administrateurs système doivent protéger leurs réseaux des charges utiles NginRAT et CronRAT en utilisant des services de sécurité et un pare-feu à jour. Bien entendu, l'application des dernières mises à jour pour tous les logiciels est également l'une des meilleures mesures de sécurité à prendre.