Malware 'linux_avp' utilizzato per piantare skimmer web

Il malware 'linux_avp' è un impianto dannoso molto specifico che è stato scoperto sui server di e-commerce. L'obiettivo principale della minaccia dannosa è modificare il contenuto di file di e-commerce specifici per eseguire un attacco di scrematura online. Invece di modificare il modulo di pagamento originale, i criminali creano pagine di pagamento e moduli di pagamento falsi che raccolgono le credenziali dell'utente. Ovviamente, per piazzare il malware 'linux_avp', i criminali devono prima penetrare nelle difese del server che stanno prendendo di mira. Non ci sono informazioni sufficienti per determinare l'esatto vettore di infezione che usano, ma è probabile che facciano affidamento su phishing, vulnerabilità in software obsoleto o credenziali di accesso scarsamente protette.

L'impianto utilizzato per manipolare il contenuto di moduli e pagine sembra essere scritto nel linguaggio di programmazione Go, che è diventato molto popolare tra gli sviluppatori di malware. I criminali sembrano usare sempre il nome 'linux_avp' per il loro impianto. Presumibilmente, lo stanno controllando tramite comandi remoti che sembrano provenire da un server con sede in Cina appartenente alla rete Alibaba. Tuttavia, questo non conferma che i colpevoli provengano dalla Cina: potrebbero semplicemente affittare il server.

Ultimo ma non meno importante, il file dannoso guadagna persistenza impostando nuovi cron job sui sistemi Linux. Gli amministratori dei negozi online devono proteggere i propri sistemi da tali attacchi utilizzando prodotti di sicurezza credibili e garantendo l'utilizzo di credenziali di accesso sicure. Ultimo ma non meno importante, dovrebbero anche applicare regolarmente gli ultimi aggiornamenti e patch di sicurezza.