Linux_avp: un nuovo malware che prende di mira i siti e-commerce
Foto di Elchinator da Pixabay |
Una nuova backdoor di Linux, denominata linux_avp, è stata scoperta sfruttare vulnerabilità nei siti di e-commerce in tutto il mondo. Gli esperti affermano che stava ricevendo comandi da un server di controllo situato a Pechino.
Sansec, una società specializzata nel rilevamento di malware e vulnerabilità nei siti di e-commerce, ha scoperto un nuovo malware “linux_avp” che si nasconde come processo di sistema sui server e-commerce. Il malware è stato distribuito in tutto il mondo a partire dalla scorsa settimana e, stando all’analisi fornita, prende i comandi da un server di controllo a Pechino.
La scoperta è stata fatta a seguito di una consulenza da parte di un cliente che si era rivolto a Santec per risolvere un problema di malware in un suo negozio di e-commerce.
L’aggressore ha iniziato a sondare il sito di e-commerce vittima dell’attacco riuscendo a trovare una vulnerabilità di caricamento dei file in uno dei plugin dello store. Ha quindi caricato una webshell e modificato il codice del server per intercettare i dati dei clienti.
L’attaccante ha anche caricato un eseguibile Linux chiamato linux_avp. Questo programma Golang si avvia, si rimuove dal disco e si traveste come un falso processo ps -ef.
L’analisi di linux_avp suggerisce che serve come backdoor, in attesa di comandi da un server ospitato a Pechino (Alibaba).
Il malware linux_avp inietta anche una voce di crontab dannosa, per garantire l’accesso nel caso in cui il processo venga rimosso o il server riavviato.