NginRAT verbergt zich in Nginx-processen

Cybercriminelen vertrouwen vaak op een combinatie van kwaadaardige implantaten, zelfs als hun functies elkaar overlappen. Dit lijkt de strategie die de makers van de nieuw gespotte NginRAT gebruiken. Kopieën van deze malware zijn hersteld van eCommerce-servers die eerder waren geïnfecteerd met het CronRAT-voorbeeld. Dit laatste is ook vrij nieuw en werd voor het eerst gemeld in de laatste week van november 2021. De NginRAT lijkt zich voornamelijk te richten op e-commerce en is actief in Noord-Amerika en Europa.

NginRAT vermomt zijn activiteit als het Nginx-proces

De naam NginRAT is gekozen omdat deze Remote Access Trojan (RAT) de procesnaam van de Nginx-service lijkt te kapen. Dit is een eenvoudige truc om zichzelf te verdoezelen en het moeilijker te maken om de aanwezigheid ervan te herkennen - de meeste beheerders zouden niet vermoeden dat een Nginx-proces gevaarlijk is.

Hoewel zowel de NginRAT als de CronRAT vergelijkbare eigenschappen hebben, lijkt het erop dat de NginRAT altijd via de laatste werd afgeleverd. Beide payloads zijn exclusief gericht op eCommerce-servers die op Linux draaien. Het is waarschijnlijk dat de criminelen misbruik maken van zwakke inloggegevens of kwetsbaarheden in verouderde internetgerichte services.

Deze Remote Access Trojan stelt zijn operators in staat om op afstand commando's uit te voeren en ze via hun command-and-control-server te verzenden. Aangezien beide payloads identieke functies hebben, is het waarschijnlijk dat de NginRAT bedoeld is als back-up voor het geval de primaire payload wordt ontdekt. Systeembeheerders moeten hun netwerken beschermen tegen de NginRAT- en CronRAT-payloads door gebruik te maken van up-to-date beveiligingsservices en een firewall. Natuurlijk is het toepassen van de laatste updates voor alle software ook een van de beste beveiligingsmaatregelen die je kunt nemen.