'linux_avp' rosszindulatú program, amelyet webszkimmerek telepítésére használnak

A „linux_avp” rosszindulatú program egy nagyon specifikus rosszindulatú implantátum, amelyet az e-kereskedelmi szervereken fedeztek fel. A rosszindulatú fenyegetés elsődleges célja az, hogy bizonyos e-kereskedelmi fájlok tartalmát módosítsa online átfutó támadás végrehajtása érdekében. Ahelyett, hogy módosítanák az eredeti fizetési űrlapot, a bűnözők hamis fizetési oldalakat és kifizetési űrlapokat hoznak létre, amelyek begyűjtik a felhasználói hitelesítő adatokat. Természetesen a „linux_avp” kártevő elültetéséhez a bűnözőknek először be kell hatolniuk az általuk megcélzott szerver védelmébe. Nincs elegendő információ az általuk használt fertőzés pontos vektorának meghatározásához, de valószínűleg adathalászatra, elavult szoftverek biztonsági réseire vagy rosszul védett bejelentkezési adatokra támaszkodnak.

Úgy tűnik, hogy az űrlapok és oldalak tartalmának manipulálására használt implantátum a rosszindulatú programok fejlesztői körében nagyon népszerűvé vált Go programozási nyelven íródott. Úgy tűnik, hogy a bűnözők mindig a „linux_avp” nevet használják az implantátumukra. Állítólag távoli parancsokon keresztül irányítják, amelyek úgy tűnik, hogy egy, az Alibaba hálózathoz tartozó kínai szerverről származnak. Ez azonban nem erősíti meg, hogy az elkövetők Kínából származnának – lehet, hogy csak bérelték a szervert.

Végül, de nem utolsósorban, a rosszindulatú fájl tartósabbá válik azáltal, hogy új cron jobokat állít be Linux rendszereken. Az online boltok adminisztrátorainak meg kell védeniük rendszereiket az ilyen támadásoktól hiteles biztonsági termékek használatával, és gondoskodniuk kell arról, hogy biztonságos bejelentkezési adatokat használnak. Végül, de nem utolsósorban a legújabb biztonsági frissítéseket és javításokat is rendszeresen alkalmazniuk kell.