{"id":4170,"date":"2021-12-06T14:36:35","date_gmt":"2021-12-06T14:36:35","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=4170"},"modified":"2023-09-16T10:59:59","modified_gmt":"2023-09-16T10:59:59","slug":"e-commerce-nginx-sotto-attacco","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/uncategorized-it\/e-commerce-nginx-sotto-attacco\/","title":{"rendered":"E-Commerce NGINX sotto attacco"},"content":{"rendered":"\n<p>Negli ultimi giorni \u00e8 stata rilavata una serie di attacchi che hanno colpito gli <strong>e-commerce<\/strong> che utilizzano il Web Server <strong>Nginx<\/strong>.<\/p>\n\n\n\n<p><a href=\"https:\/\/sansec.io\/research\/nginrat\">Alcuni ricercatori<\/a> hanno osservato, durante una compromissione da <strong>Malware CronRAT<\/strong>, l&#8217;esecuzione di un nuovo malware rinominato <strong>NginRAT<\/strong>. Quest&#8217;ultimo passa inosservato e sfugge ai controlli delle principali soluzioni di sicurezza iniettando il suo codice all&#8217;interno dei processi leciti di Nginx:<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-full\"><img decoding=\"async\" width=\"726\" height=\"135\" src=\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2021\/12\/image.png\" alt=\"\" class=\"wp-image-4171\" srcset=\"https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2021\/12\/image.png 726w, https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2021\/12\/image-300x56.png 300w\" sizes=\"(max-width: 726px) 100vw, 726px\" loading=\"lazy\" \/><\/figure><\/div>\n\n\n\n<p><strong>NginRAT <\/strong>e <strong>CronRAT<\/strong> sono Malware progettati per fornire un accesso remoto ai server compromessi con l&#8217;obiettivo di interagire con i server e-commerce esfiltrando i dati dai moduli di pagamento online\u200e. <\/p>\n\n\n\n<p>Gli attacchi, attribuiti a <a href=\"https:\/\/www.riskiq.com\/what-is-magecart\/\" rel=\"noreferrer noopener\" target=\"_blank\">\u200eMagecart\u200e<\/a>\u200e<a href=\"https:\/\/www.trendmicro.com\/en_in\/research\/19\/j\/fin6-compromised-e-commerce-platform-via-magecart-to-inject-credit-card-skimmers-into-thousands-of-online-shops.html\" rel=\"noreferrer noopener\" target=\"_blank\">\u200e<\/a>\u200e, sono in realt\u00e0 effettuati da dozzine di sottogruppi criminali coinvolti nel furto di carte di credito digitali. In questi casi si tratta di tecnica di <strong>Web skimming<\/strong>, si sfrutta una vulnerabilit\u00e0 del software per poter accedere al codice sorgente di un portale online iniettando codice JavaScript dannoso che sottrae i dati privati degli acquirenti inseriti durante il pagamento.<\/p>\n\n\n\n<p>Durante l&#8217;attacco <strong>CronRAT <\/strong>comunica con il server di comando e controllo all&#8217;indirizzo <strong>47.115.46[.]167<\/strong>, dopo alcuni passaggi viene installato <strong>NginRAT <\/strong>che comunica con lo stesso server di comando e controllo. NginRAT pu\u00f2 restare in attesa di comandi anche per intere settimane.<br>Dato che il malware si nasconde attraverso il processo Nginx, non \u00e8 possibile rilevarlo attraverso l&#8217;analisi del PID. Tuttavia durante l&#8217;avvio del malware viene utilizzata la variabile <strong>LD_L1BRARY_PATH<\/strong> per cui \u00e8 possibile rilevarne la presenza attraverso il comando: <\/p>\n\n\n\n<p class=\"has-text-align-center\"><code>sudo grep -al LD_L1BRARY_PATH \/proc\/*\/environ | grep -v self\/<\/code><a href=\"https:\/\/go.thn.li\/crowdsec-inside\" rel=\"noreferrer noopener\" target=\"_blank\"><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Negli ultimi giorni \u00e8 stata rilavata una serie di attacchi che hanno colpito gli e-commerce che utilizzano il Web Server Nginx. Alcuni ricercatori hanno osservato, durante una compromissione da Malware CronRAT, l&#8217;esecuzione di un nuovo malware rinominato NginRAT. Quest&#8217;ultimo passa inosservato e sfugge ai controlli delle principali soluzioni di sicurezza iniettando il suo codice all&#8217;interno [&hellip;]<\/p>\n","protected":false},"author":7,"featured_media":4171,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[954],"tags":[1559,1561,1563,1565,1567,1569,1571],"class_list":["post-4170","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized-it","tag-china-it","tag-cronrat-it","tag-e-commerce-it","tag-ecommerce-it","tag-nginrat-it","tag-nginx-it","tag-web-skimmer-it"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/4170","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=4170"}],"version-history":[{"count":4,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/4170\/revisions"}],"predecessor-version":[{"id":4185,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/4170\/revisions\/4185"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media\/4171"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=4170"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=4170"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=4170"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}