Le logiciel malveillant 'linux_avp' utilisé pour planter des écumeurs Web
Le Malware 'linux_avp' est un implant malveillant très spécifique qui a été découvert sur des serveurs de commerce électronique. L'objectif principal de la menace malveillante est de modifier le contenu de fichiers de commerce électronique spécifiques afin d'exécuter une attaque d'écrémage en ligne. Au lieu de modifier le formulaire de paiement d'origine, les criminels créent de fausses pages de paiement et des formulaires de paiement qui collectent les informations d'identification des utilisateurs. Bien sûr, afin de planter le Malware 'linux_avp', les criminels doivent d'abord pénétrer les défenses du serveur qu'ils ciblent. Il n'y a pas suffisamment d'informations pour déterminer le vecteur d'infection exact qu'ils utilisent, mais ils sont susceptibles de s'appuyer sur du phishing, des vulnérabilités dans des logiciels obsolètes ou des identifiants de connexion mal sécurisés.
L'implant utilisé pour manipuler le contenu des formulaires et des pages semble être écrit dans le langage de programmation Go, qui est devenu très populaire parmi les développeurs de logiciels malveillants. Les criminels semblent toujours utiliser le nom 'linux_avp' pour leur implant. Apparemment, ils le contrôlent via des commandes à distance qui semblent provenir d'un serveur basé en Chine appartenant au réseau Alibaba. Cependant, cela ne confirme pas que les auteurs viennent de Chine – ils pourraient simplement louer le serveur.
Enfin, le fichier malveillant gagne en persistance en configurant de nouvelles tâches cron sur les systèmes Linux. Les administrateurs de boutique en ligne doivent sécuriser leurs systèmes contre de telles attaques en utilisant des produits de sécurité crédibles et en s'assurant qu'ils utilisent des identifiants de connexion sécurisés. Enfin, ils doivent également appliquer régulièrement les dernières mises à jour et correctifs de sécurité.