Mercado fechado
  • BOVESPA

    112.764,26
    +3.046,32 (+2,78%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    48.853,37
    +392,82 (+0,81%)
     
  • PETROLEO CRU

    91,88
    -2,46 (-2,61%)
     
  • OURO

    1.818,90
    +11,70 (+0,65%)
     
  • BTC-USD

    24.098,21
    -59,96 (-0,25%)
     
  • CMC Crypto 200

    574,64
    +3,36 (+0,59%)
     
  • S&P500

    4.280,15
    +72,88 (+1,73%)
     
  • DOW JONES

    33.761,05
    +424,38 (+1,27%)
     
  • FTSE

    7.500,89
    +34,98 (+0,47%)
     
  • HANG SENG

    20.175,62
    +93,19 (+0,46%)
     
  • NIKKEI

    28.546,98
    +727,65 (+2,62%)
     
  • NASDAQ

    13.580,00
    +268,75 (+2,02%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,2024
    -0,1213 (-2,28%)
     

Linux é alvo de mais uma ameaça que dribla detecção e rouba dados de e-commerce

·2 min de leitura

A Black Friday já passou, mas os perigos em varejos digitais continuam. Servidores de e-commerce estão sendo alvos de um ataque virtual que usa uma ameaça que afeta pouco a memória de computadores Linux e, com isso, conseguem driblar a detecção de soluções de segurança.

Segundo uma pesquisa da empresa de proteção digital Sansec, o cavalo de troia de acesso remoto (RAT), identificado como NginRAT, está sendo principalmente utilizada para o roubo de informações de cartão de crédito de lojas online da América do Norte e Europa que utilizam sistemas Linux.

Na maioria das vezes, o NginRAT é encontrado em dispositivos infectados pelo CronRAT, ameaça que esconde suas ações em tarefas do utilitário de agendamento de ações do Linux, o cron, marcadas para dias inexistentes do calendário, como 31 de fevereiro.

A detecção da ameaça é difícil por conta de seu disfarce como um processo do software de servidor web Nginx, usados por máquinas Linux por conta de seu baixo uso de memória do computador. O vírus copia de tal forma a estrutura de tarefas do programa, que soluções antivírus não conseguem o diferenciar das ações legítimas que estão ocorrendo no dispositivo.

A equipe da Sansec estudou o NginRAT a partir do desenvolvimento de uma variação do CronRAT, que registrava todas as comunicações da máquina com o servidor de comando e controle (C2) da ameaça. Nisso, descobriram que o agente malicioso acessa e rouba dados do servidor Nginx, que são enviados para os controladores do vírus através de uma conexão de Comando e Controle (C2).

Função do Linux pode identificar processos alterados

<em>Ameaças no Linux indetectáveis vem sendo o foco de relatórios da Sansec (Imagem: Divulgação/Elchinator/Pixabay)</em>
Ameaças no Linux indetectáveis vem sendo o foco de relatórios da Sansec (Imagem: Divulgação/Elchinator/Pixabay)

Por conta de sua difícil detecção, os pesquisadores da Sansec ainda estão estudando formas de remover a ameaça dos dispositivos afetados. Por hora, a única solução é com o encerramento de todos os processos relacionados com o NginRAT, que podem ser identificados por meio da função LD_L1BRARY_PATH do Linux (com o "1" no lugar do "i" de LIBRARY) que revela todos os processos com alterações recentes na máquina.

Por fim, o relatório da Sansec alerta que caso o NginRAT seja detectado em um sistema, a probabilidade da máquina também estar infectada com o CronRAT é alta, com os pesquisadores também recomendando a checagem das tarefas agendadas no utilitário cron, do Linux, para identificar a ameaça.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos