'linux_avp'-Malware, die verwendet wird, um Web-Skimmer zu installieren
Die Malware 'linux_avp' ist ein sehr spezifisches bösartiges Implantat, das auf E-Commerce-Servern entdeckt wurde. Das Hauptziel der bösartigen Bedrohung besteht darin, den Inhalt bestimmter E-Commerce-Dateien zu ändern, um einen Online-Skimming-Angriff auszuführen. Anstatt das ursprüngliche Zahlungsformular zu ändern, erstellen die Kriminellen gefälschte Checkout-Seiten und Auszahlungsformulare, die Benutzeranmeldeinformationen sammeln. Um die Malware 'linux_avp' einzuschleusen, müssen die Kriminellen natürlich zuerst in die Abwehrmechanismen des Servers eindringen, den sie angreifen. Es gibt nicht genügend Informationen, um den genauen Infektionsvektor zu bestimmen, den sie verwenden, aber sie verlassen sich wahrscheinlich auf Phishing, Schwachstellen in veralteter Software oder schlecht gesicherte Anmeldeinformationen.
Das Implantat, mit dem der Inhalt von Formularen und Seiten manipuliert wird, scheint in der Programmiersprache Go geschrieben zu sein, die bei Malware-Entwicklern sehr beliebt ist. Die Kriminellen scheinen für ihr Implantat immer den Namen 'linux_avp' zu verwenden. Angeblich steuern sie es durch Fernbefehle, die anscheinend von einem in China ansässigen Server des Alibaba-Netzwerks stammen. Dies bestätigt jedoch nicht, dass die Täter aus China stammen – möglicherweise mieten sie nur den Server.
Nicht zuletzt gewinnt die bösartige Datei an Persistenz, indem auf Linux-Systemen neue Cron-Jobs eingerichtet werden. Online-Shop-Administratoren müssen ihre Systeme vor solchen Angriffen schützen, indem sie glaubwürdige Sicherheitsprodukte einsetzen und sicherstellen, dass sie sichere Anmeldedaten verwenden. Nicht zuletzt sollten sie auch regelmäßig die neuesten Sicherheitsupdates und Patches einspielen.