Κακόβουλο λογισμικό 'linux_avp' που χρησιμοποιείται για την εγκατάσταση Web Skimmers
Το κακόβουλο λογισμικό 'linux_avp' είναι ένα πολύ συγκεκριμένο κακόβουλο εμφύτευμα που έχει ανακαλυφθεί σε διακομιστές ηλεκτρονικού εμπορίου. Ο πρωταρχικός στόχος της κακόβουλης απειλής είναι να τροποποιήσει τα περιεχόμενα συγκεκριμένων αρχείων ηλεκτρονικού εμπορίου προκειμένου να εκτελεστεί μια διαδικτυακή επίθεση skimming. Αντί να τροποποιήσουν την αρχική φόρμα πληρωμής, οι εγκληματίες δημιουργούν ψεύτικες σελίδες ολοκλήρωσης αγοράς και φόρμες πληρωμής που συγκεντρώνουν τα διαπιστευτήρια των χρηστών. Φυσικά, για να εγκαταστήσουν το κακόβουλο λογισμικό «linux_avp», οι εγκληματίες πρέπει πρώτα να διεισδύσουν στις άμυνες του διακομιστή που στοχεύουν. Δεν υπάρχουν αρκετές πληροφορίες για τον προσδιορισμό του ακριβούς φορέα μόλυνσης που χρησιμοποιούν, αλλά είναι πιθανό να βασίζονται είτε σε ηλεκτρονικό ψάρεμα είτε σε ευπάθειες σε παλιό λογισμικό ή σε κακώς ασφαλή διαπιστευτήρια σύνδεσης.
Το εμφύτευμα που χρησιμοποιείται για τον χειρισμό του περιεχομένου των φορμών και των σελίδων φαίνεται να είναι γραμμένο στη γλώσσα προγραμματισμού Go, η οποία έχει γίνει πολύ δημοφιλής μεταξύ των προγραμματιστών κακόβουλου λογισμικού. Οι εγκληματίες φαίνεται να χρησιμοποιούν πάντα το όνομα 'linux_avp' για το εμφύτευμά τους. Φέρεται ότι το ελέγχουν μέσω απομακρυσμένων εντολών που φαίνεται να προέρχονται από έναν διακομιστή με έδρα την Κίνα που ανήκει στο δίκτυο Alibaba. Ωστόσο, αυτό δεν επιβεβαιώνει ότι οι δράστες είναι από την Κίνα – μπορεί απλώς να νοικιάζουν τον διακομιστή.
Τελευταίο αλλά εξίσου σημαντικό, το κακόβουλο αρχείο αποκτά επιμονή με τη ρύθμιση νέων εργασιών cron σε συστήματα Linux. Οι διαχειριστές των ηλεκτρονικών καταστημάτων πρέπει να προστατεύουν τα συστήματά τους από τέτοιες επιθέσεις χρησιμοποιώντας προϊόντα αξιόπιστης ασφάλειας και διασφαλίζοντας ότι χρησιμοποιούν ασφαλή διαπιστευτήρια σύνδεσης. Τελευταίο αλλά εξίσου σημαντικό, θα πρέπει επίσης να εφαρμόζουν τακτικά τις πιο πρόσφατες ενημερώσεις ασφαλείας και ενημερώσεις κώδικα.
