Las plataformas de comercio electrónico de Estados Unidos, Alemania y Francia han sido atacadas por una nueva forma de malware que se dirige a los servidores Nginx en un intento de enmascarar su presencia y pasar desapercibido para las soluciones de seguridad.
«Este novedoso código se inyecta a sí mismo en una aplicación Nginx anfitriona y es casi invisible», dijo el equipo de Investigación de Amenazas de Sansec en un nuevo informe. «El parásito se utiliza para robar datos de los servidores de comercio electrónico, también conocido como ‘Magecart del lado del servidor'».
Nginx, un software gratuito y de código abierto, es un servidor web que también puede utilizarse como proxy inverso, equilibrador de carga, proxy de correo y caché HTTP. NginRAT, como se llama el malware avanzado, funciona secuestrando una aplicación Nginx del host para incrustarse en el proceso del servidor web.
El troyano de acceso remoto se distribuye a través de CronRAT, otra pieza de malware que la empresa holandesa de ciberseguridad reveló la semana pasada que esconde sus cargas maliciosas en trabajos cron programados para ejecutarse el 31 de febrero, un día del calendario inexistente.
Tanto CronRAT como NginRAT están diseñados para proporcionar una forma remota de entrar en los servidores comprometidos, y el objetivo de las intrusiones es realizar modificaciones en el lado del servidor de los sitios web de comercio electrónico comprometidos de manera que los adversarios puedan exfiltrar datos mediante la sustracción de formularios de pago en línea.


Los ataques, conocidos colectivamente como Magecart o web skimming, son obra de un sindicato de ciberdelincuentes compuesto por decenas de subgrupos que se dedican al robo digital de tarjetas de crédito explotando vulnerabilidades de software para acceder al código fuente de un portal online e insertar código JavaScript malicioso que desvía los datos que los compradores introducen en las páginas de pago.
«Los grupos de skimmers están creciendo rápidamente y se dirigen a varias plataformas de comercio electrónico utilizando una variedad de formas para no ser detectados», señalaron los investigadores de Zscaler en un análisis de las últimas tendencias de Magecart publicado a principios de este año.
«Las últimas técnicas incluyen comprometer versiones vulnerables de plataformas de comercio electrónico, alojar scripts de skimmer en CDNs y servicios en la nube, y utilizar dominios recién registrados (NRDs) lexicalmente cercanos a cualquier servicio web legítimo o tienda de comercio electrónico específica para alojar scripts de skimmer maliciosos.»