Νέο λογισμικό κλοπής δεδομένων καρτών κρύβεται στο Process του Nginx Linux Servers

Νέο λογισμικό κλοπής δεδομένων καρτών κρύβεται στο Process του Nginx Linux Servers

Νέο λογισμικό κλοπής δεδομένων καρτών κρύβεται στο Process του Nginx Linux Servers

Οι πλατφόρμες ηλεκτρονικού εμπορίου στις ΗΠΑ, τη Γερμανία και τη Γαλλία έχουν δεχθεί επίθεση από μια νέα μορφή κακόβουλου λογισμικού που στοχεύει τους servers του Nginx σε μια προσπάθεια να κρύψει την παρουσία του και να παραλείψει τον εντοπισμό του από λύσεις ασφαλείας.

"Αυτός ο νέος κώδικας γίνεται inject σε μια κεντρική εφαρμογή Nginx και είναι σχεδόν αόρατος", ανέφερε η ομάδα της Sansec Threat Research σε μια νέα έκθεση. "Το παράσιτο χρησιμοποιείται για την κλοπή δεδομένων από servers ηλεκτρονικού εμπορίου, γνωστά και ως "Magecart από την πλευρά του server".

O Nginx είναι ένας web server, με λογισμικό ανοιχτού κώδικα, που μπορεί επίσης να χρησιμοποιηθεί ως reverse proxy, load balancer, mail proxy και HTTP cache. Το NginRAT, όπως ονομάζεται το προηγμένο κακόβουλο λογισμικό, λειτουργεί παραβιάζοντας μια εφαρμογή ενός host του Nginx για να ενσωματωθεί στη διαδικασία του web server.

Το trojan απομακρυσμένης πρόσβασης παραδίδεται μέσω του CronRAT, ενός άλλου κομματιού κακόβουλου λογισμικού που η ολλανδική εταιρεία κυβερνοασφάλειας αποκάλυψε την περασμένη εβδομάδα ότι κρύβει τα κακόβουλα ωφέλιμα φορτία του σε cronjobs που έχουν προγραμματιστεί να εκτελεστούν στις 31 Φεβρουαρίου, σε μία ημερομήνία που ουσιαστικά δεν υπάρχει. γίνουν τροποποιήσεις από την πλευρά του server στα παραβιασμένα e-commerce websites, με τρόπο που να επιτρέπει στους κακόβουλους χρήστες να εκμεταλλεύονται και να κάνουν "skimming" τα δεδομένα μέσα από τις φόρμες των online πληρωμών.

​Οι επιθέσεις, συλλογικά γνωστές ως Magecart ή web skimming, είναι έργο ενός συνδικάτου εγκλήματος στον κυβερνοχώρο, αποτελείται από δεκάδες υποομάδες, που εμπλέκονται σε κλοπή ψηφιακών πιστωτικών καρτών εκμεταλλευόμενοι ευπάθειες λογισμικού αποκτώντας πρόσβαση στον πηγαίο κώδικα ενός online portal και εισάγοντας κακόβουλο κώδικα JavaScript που διοχευτεύει τα δεδομένα που εισάγουν οι αγοραστές στις σελίδες ολοκλήρωσης αγοράς.

"Τα Skimmer Groups αναπτύσσονται γρήγορα και στοχεύουν σε διάφορες πλατφόρμες ηλεκτρονικού εμπορίου χρησιμοποιώντας διάφορους τρόπους για να παραμείνουν απαρατήρητοι", σημείωσαν οι ερευνητές της Zscaler σε μια ανάλυση των τελευταίων τάσεων Magecart που δημοσιεύθηκαν νωρίτερα φέτος.

"Οι πιο πρόσφατες τεχνικές περιλαμβάνουν τις "compromising" ευάλωτες εκδόσεις πλατφορμών ηλεκτρονικού εμπορίου, τη φιλοξενία των skimmer scripts σε CDN και υπηρεσίες cloud και χρήσιμοποιώντας newly registered domains (NRDs) λεξιλογικά κοντά σε οποιαδήποτε νόμιμo web service ή συγκεκριμένων καταστημάτων ηλεκτρονικού εμπορίου για τη φιλοξενία κακόβουλων skimmer scripts. "