Linux服务器上的Nginx进程中隐藏了新的支付数据窃取恶意软件

美国、德国和法国的电子商务平台受到了一种新形式的恶意软件的攻击，这种恶意软件以Nginx服务器为目标，试图掩盖其存在，并通过安全解决方案的检测。

Sansec威胁研究团队在一份新报告中说：“这段新代码将自己注入主机Nginx应用程序，几乎是看不见的。”。“寄生虫被用来从电子商务服务器（也称为‘服务器端Magecart’）窃取数据。”

Nginx是一款免费的开源软件，它是一款web服务器，还可以用作反向代理、负载平衡器、邮件代理和HTTP缓存。被称为高级恶意软件的NginRAT通过劫持主机Nginx应用程序将自身嵌入Web服务器进程来工作。

远程访问特洛伊木马本身是通过CronRAT交付的。荷兰网络安全公司上周披露，CronRAT是另一种恶意软件，将其恶意有效载荷隐藏在定于2月31日（不存在的日历日）执行的cron作业中。

CronRAT和NginRAT都旨在提供远程进入受损服务器的方式，入侵的目标是对受损电子商务网站进行服务器端修改，使对手能够通过浏览在线支付表单过滤数据。

这些攻击统称为Magecart或网络浏览，这是一个网络犯罪集团的工作，该集团由数十个子集团组成，通过利用软件漏洞获取在线门户的源代码，并插入恶意JavaScript代码，将购物者进入结账页面的数据虹吸，从而参与数字信用卡盗窃。

Zscaler的研究人员在对今年早些时候公布的最新Magecart趋势的分析中指出，“浏览者群体正在迅速增长，并以各种方式锁定各种电子商务平台，以保持不被发现。”。

“最新技术包括泄露易受攻击的电子商务平台版本、在CDN和云服务上托管略读脚本，以及使用新注册的域（NRD）在词汇上接近任何合法web服务或特定电子商务商店来托管恶意略读脚本。”