Linux_avp: un nuovo malware che prende di mira i siti e-commerce
Una nuova backdoor di Linux, denominata linux_avp, è stata scoperta sfruttare vulnerabilità nei siti di e-commerce in tutto il mondo. Gli esperti affermano che stava ricevendo comandi da un server di controllo situato a Pechino.
Sansec, una società specializzata nel rilevamento di malware e vulnerabilità nei siti di e-commerce, ha scoperto un nuovo malware “linux_avp” che si nasconde come processo di sistema sui server e-commerce. Il malware è stato distribuito in tutto il mondo a partire dalla scorsa settimana e, stando all’analisi fornita, prende i comandi da un server di controllo a Pechino.
La scoperta è stata fatta a seguito di una consulenza da parte di un cliente che si era rivolto a Santec per risolvere un problema di malware in un suo negozio di e-commerce.
L’aggressore ha iniziato a sondare il sito di e-commerce vittima dell’attacco riuscendo a trovare una vulnerabilità di caricamento dei file in uno dei plugin dello store. Ha quindi caricato una webshell e modificato il codice del server per intercettare i dati dei clienti.
L’attaccante ha anche caricato un eseguibile Linux chiamato linux_avp. Questo programma Golang si avvia, si rimuove dal disco e si traveste come un falso processo ps -ef.
L’analisi di linux_avp suggerisce che serve come backdoor, in attesa di comandi da un server ospitato a Pechino (Alibaba).
Il malware linux_avp inietta anche una voce di crontab dannosa, per garantire l’accesso nel caso in cui il processo venga rimosso o il server riavviato.
I ricercatori di Santec hanno inoltre scoperto che uno skimmer web con codice PHP viene aggiunto al codice della piattaforma di e-commerce. Questo skimmer finge di essere una immagine favicon e viene utilizzato per iniettare moduli di pagamento fraudolenti e rubare dati sulla carta di credito immessi dai clienti.
Il codice PHP è stato ospitato su un server con sede a Hong Kong ed è stato precedentemente utilizzato come endpoint per la scrematura dell’infiltrazione a luglio e agosto.
Fonte: http://www.marcosbox.org/2021/11/linux-avp-malware-e-commerce.html
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
