NginRAT si nasconde nei processi Nginx

I criminali informatici spesso si affidano a una combinazione di impianti dannosi, anche se le loro caratteristiche tendono a sovrapporsi. Questa sembra la strategia utilizzata dai creatori del nuovo avvistato NginRAT. Copie di questo malware sono state recuperate dai server eCommerce precedentemente infettati dal campione CronRAT. Anche quest'ultimo è abbastanza nuovo ed è stato segnalato per la prima volta nell'ultima settimana di novembre 2021. Il NginRAT sembra rivolgersi principalmente anche ai servizi di e-commerce ed è attivo in Nord America ed Europa.

NginRAT maschera la sua attività come processo Nginx

Il nome NginRAT è stato selezionato perché questo Trojan di accesso remoto (RAT) sembra dirottare il nome del processo del servizio Nginx. Questo è un semplice trucco per offuscarsi e rendere più difficile individuarne la presenza: la maggior parte degli amministratori non sospetterebbe che un processo Nginx sia pericoloso.

Sebbene sia NginRAT che CronRAT abbiano proprietà simili, sembra che NginRAT sia sempre stato consegnato tramite quest'ultimo. Entrambi i payload sono destinati a server eCommerce che eseguono esclusivamente Linux. È probabile che i criminali stiano sfruttando credenziali di accesso deboli o vulnerabilità presenti in servizi obsoleti con connessione a Internet.

Questo Trojan di accesso remoto consente ai suoi operatori di eseguire comandi in remoto, inviandoli tramite il loro server di comando e controllo. Poiché entrambi i payload hanno caratteristiche identiche, è probabile che NginRAT sia destinato a fungere da backup nel caso in cui venga scoperto il payload primario. Gli amministratori di sistema dovrebbero proteggere le proprie reti dai payload NginRAT e CronRAT utilizzando servizi di sicurezza e firewall aggiornati. Naturalmente, anche l'applicazione degli ultimi aggiornamenti per tutti i software è una delle migliori misure di sicurezza da adottare.