Malware 'linux_avp' utilizado para plantar skimmers web
El malware 'linux_avp' es un implante malicioso muy específico que se ha descubierto en servidores de comercio electrónico. El objetivo principal de la amenaza maliciosa es modificar el contenido de archivos de comercio electrónico específicos para ejecutar un ataque de skimming en línea. En lugar de modificar el formulario de pago original, los delincuentes están creando páginas de pago y formularios de pago falsos que recopilan las credenciales de los usuarios. Por supuesto, para plantar el malware 'linux_avp', los delincuentes primero deben penetrar las defensas del servidor al que se dirigen. No hay suficiente información para determinar el vector de infección exacto que utilizan, pero es probable que se basen en phishing, vulnerabilidades en software obsoleto o credenciales de inicio de sesión mal aseguradas.
El implante utilizado para manipular el contenido de formularios y páginas parece estar escrito en el lenguaje de programación Go, que se ha vuelto muy popular entre los desarrolladores de malware. Los criminales parecen usar siempre el nombre 'linux_avp' para su implante. Al parecer, lo están controlando a través de comandos remotos que parecen originarse en un servidor con sede en China que pertenece a la red Alibaba. Sin embargo, esto no confirma que los perpetradores sean de China; es posible que solo estén alquilando el servidor.
Por último, pero no menos importante, el archivo malicioso gana persistencia al configurar nuevos trabajos cron en sistemas Linux. Los administradores de la tienda en línea deben proteger sus sistemas de tales ataques utilizando productos de seguridad creíbles y asegurándose de que están usando credenciales de inicio de sesión seguras. Por último, pero no menos importante, también deben aplicar las últimas actualizaciones y parches de seguridad con regularidad.