Linux é alvo de mais uma ameaça que dribla detecção e rouba dados de e-commerce

A Black Friday já passou, mas os perigos em varejos digitais continuam. Servidores de e-commerce estão sendo alvos de um ataque virtual que usa uma ameaça que afeta pouco a memória de computadores Linux e, com isso, conseguem driblar a detecção de soluções de segurança.

Segundo uma pesquisa da empresa de proteção digital Sansec, o cavalo de troia de acesso remoto (RAT), identificado como NginRAT, está sendo principalmente utilizada para o roubo de informações de cartão de crédito de lojas online da América do Norte e Europa que utilizam sistemas Linux.

Na maioria das vezes, o NginRAT é encontrado em dispositivos infectados pelo CronRAT, ameaça que esconde suas ações em tarefas do utilitário de agendamento de ações do Linux, o cron, marcadas para dias inexistentes do calendário, como 31 de fevereiro.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

A detecção da ameaça é difícil por conta de seu disfarce como um processo do software de servidor web Nginx, usados por máquinas Linux por conta de seu baixo uso de memória do computador. O vírus copia de tal forma a estrutura de tarefas do programa, que soluções antivírus não conseguem o diferenciar das ações legítimas que estão ocorrendo no dispositivo.

A equipe da Sansec estudou o NginRAT a partir do desenvolvimento de uma variação do CronRAT, que registrava todas as comunicações da máquina com o servidor de comando e controle (C2) da ameaça. Nisso, descobriram que o agente malicioso acessa e rouba dados do servidor Nginx, que são enviados para os controladores do vírus através de uma conexão de Comando e Controle (C2).

Função do Linux pode identificar processos alterados

Ameaças no Linux indetectáveis vem sendo o foco de relatórios da Sansec (Imagem: Divulgação/Elchinator/Pixabay)

Por conta de sua difícil detecção, os pesquisadores da Sansec ainda estão estudando formas de remover a ameaça dos dispositivos afetados. Por hora, a única solução é com o encerramento de todos os processos relacionados com o NginRAT, que podem ser identificados por meio da função LD_L1BRARY_PATH do Linux (com o “1” no lugar do “i” de LIBRARY) que revela todos os processos com alterações recentes na máquina.

Por fim, o relatório da Sansec alerta que caso o NginRAT seja detectado em um sistema, a probabilidade da máquina também estar infectada com o CronRAT é alta, com os pesquisadores também recomendando a checagem das tarefas agendadas no utilitário cron, do Linux, para identificar a ameaça.

Fonte: BleepingComputer

Fonte feed: canaltech.com.br

Veja também

Menu