Las plataformas de comercio electrónico de países como Estados Unidos, Alemania y Francia se están viendo afectadas por NginRAT, un nuevo tipo de malware que usa los procesos de Nginx para no ser detectado por las soluciones de seguridad implementadas por las compañías.

Este nuevo malware, que llega a ser casi invisible una vez se inyecta en las aplicaciones de Nginx, está siendo utilizado por actores maliciosos para robar datos de servidores de comercios electrónicos.

NginRAT gana acceso a Nginx mediante CronRAT, un tipo de malware adicional que oculta sus payloads en tareas de cron. Tanto CronRAT como NginRAT están diseñados para proporcionar a los atacantes una manera remota de acceder a los servidores que son objetivo del malware, siendo la intención final de la intrusión modificar ciertos aspectos de los sitios web comprometidos de manera que los atacantes puedan exfiltrar información de las plataformas de pago.

En la siguiente imagen se puede observar el proceso malicioso tras la inyección:

El nombre que se le ha dado a esta campaña de malware ha sido Magecart, producto de un grupo de cibercriminales compuesto por docenas de subgrupos dedicados al robo de tarjetas de crédito por medio de la explotación de software vulnerable, con el objetivo de ganar acceso al código fuente de portales online y, posteriormente, inyectar código JavaScript malicioso.

Además de incluir dichos scripts maliciosos en el CDN y servicios «cloud» de las páginas, los atacantes también están haciendo uso de nuevos dominios recientemente registrados, que son muy parecidos a páginas de servicios legítimos, por lo que se recomienda a los usuarios que revisen cuidadosamente los sitios web a los que se accede, particularmente si se les solicita información sensible como datos personales y/o información bancaria.

Más información

New Payment Data Sealing Malware Hides in Nginx Process on Linux Servers