0
0
A Black Friday já passou, mas os perigos em varejos digitais continuam. Servidores de e-commerce estão sendo alvos de um ataque virtual que usa uma ameaça que afeta pouco a memória de computadores Linux e, com isso, conseguem driblar a detecção de soluções de segurança.
Segundo uma pesquisa da empresa de proteção digital Sansec, o cavalo de troia de acesso remoto (RAT), identificado como NginRAT, está sendo principalmente utilizada para o roubo de informações de cartão de crédito de lojas online da América do Norte e Europa que utilizam sistemas Linux.
Na maioria das vezes, o NginRAT é encontrado em dispositivos infectados pelo CronRAT, ameaça que esconde suas ações em tarefas do utilitário de agendamento de ações do Linux, o cron, marcadas para dias inexistentes do calendário, como 31 de fevereiro.
A detecção da ameaça é difícil por conta de seu disfarce como um processo do software de servidor web Nginx, usados por máquinas Linux por conta de seu baixo uso de memória do computador. O vírus copia de tal forma a estrutura de tarefas do programa, que soluções antivírus não conseguem o diferenciar das ações legítimas que estão ocorrendo no dispositivo.
A equipe da Sansec estudou o NginRAT a partir do desenvolvimento de uma variação do CronRAT, que registrava todas as comunicações da máquina com o servidor de comando e controle (C2) da ameaça. Nisso, descobriram que o agente malicioso acessa e rouba dados do servidor Nginx, que são enviados para os controladores do vírus através de uma conexão de Comando e Controle (C2).
Função do Linux pode identificar processos alterados
Por conta de sua difícil detecção, os pesquisadores da Sansec ainda estão estudando formas de remover a ameaça dos dispositivos afetados. Por hora, a única solução é com o encerramento de todos os processos relacionados com o NginRAT, que podem ser identificados por meio da função LD_L1BRARY_PATH do Linux (com o “1” no lugar do “i” de LIBRARY) que revela todos os processos com alterações recentes na máquina.
Por fim, o relatório da Sansec alerta que caso o NginRAT seja detectado em um sistema, a probabilidade da máquina também estar infectada com o CronRAT é alta, com os pesquisadores também recomendando a checagem das tarefas agendadas no utilitário cron, do Linux, para identificar a ameaça.
FONTE: CANALTECH