'linux_avp' Malware gebruikt om webskimmers te planten

De 'linux_avp'-malware is een zeer specifiek kwaadaardig implantaat dat is ontdekt op e-commerceservers. Het primaire doel van de kwaadaardige dreiging is om de inhoud van specifieke e-commercebestanden te wijzigen om een online skimming-aanval uit te voeren. In plaats van het oorspronkelijke betalingsformulier aan te passen, creëren de criminelen valse betaalpagina's en uitbetalingsformulieren die gebruikersgegevens verzamelen. Om de 'linux_avp'-malware te installeren, moeten de criminelen natuurlijk eerst de verdediging van de server waarop ze zich richten binnendringen. Er is niet genoeg informatie om de exacte infectievector te bepalen die ze gebruiken, maar ze zijn waarschijnlijk afhankelijk van phishing, kwetsbaarheden in verouderde software of slecht beveiligde inloggegevens.

Het implantaat dat wordt gebruikt om de inhoud van formulieren en pagina's te manipuleren, lijkt te zijn geschreven in de Go-programmeertaal, die erg populair is geworden onder malware-ontwikkelaars. De criminelen lijken altijd de naam 'linux_avp' te gebruiken voor hun implantaat. Naar verluidt besturen ze het via externe opdrachten die afkomstig lijken te zijn van een in China gevestigde server die deel uitmaakt van het Alibaba-netwerk. Dit bevestigt echter niet dat de daders uit China komen - ze zouden gewoon de server kunnen huren.

Last but not least wint het kwaadaardige bestand aan persistentie door nieuwe cron-taken op Linux-systemen in te stellen. Beheerders van online winkels moeten hun systemen tegen dergelijke aanvallen beveiligen door geloofwaardige beveiligingsproducten te gebruiken en ervoor te zorgen dat ze veilige inloggegevens gebruiken. Last but not least moeten ze ook regelmatig de nieuwste beveiligingsupdates en patches toepassen.