Złośliwe oprogramowanie „linux_avp” wykorzystywane do zakładania skimmerów internetowych

Malware „linux_avp” to bardzo specyficzny złośliwy implant, który został wykryty na serwerach handlu elektronicznego. Głównym celem złośliwego zagrożenia jest zmodyfikowanie zawartości określonych plików handlu elektronicznego w celu przeprowadzenia ataku skimmingu online. Zamiast modyfikować oryginalną formę płatności, przestępcy tworzą fałszywe strony kasy i formularze wypłat, które zbierają dane uwierzytelniające użytkownika. Oczywiście, aby umieścić złośliwe oprogramowanie „linux_avp”, przestępcy muszą najpierw przeniknąć przez zabezpieczenia serwera, na który są celem. Nie ma wystarczających informacji, aby określić dokładny wektor infekcji, z którego korzystają, ale prawdopodobnie polegają na phishingu, lukach w przestarzałym oprogramowaniu lub słabo zabezpieczonych danych logowania.

Implant służący do manipulowania treścią formularzy i stron wydaje się być napisany w języku programowania Go, który stał się bardzo popularny wśród twórców złośliwego oprogramowania. Wydaje się, że przestępcy zawsze używają nazwy „linux_avp” dla swojego implantu. Podobno kontrolują go za pomocą zdalnych poleceń, które wydają się pochodzić z chińskiego serwera należącego do sieci Alibaba. Nie oznacza to jednak, że sprawcy pochodzą z Chin – mogą po prostu wynajmować serwer.

Wreszcie, złośliwy plik zyskuje na trwałości, konfigurując nowe zadania crona w systemach Linux. Administratorzy sklepów internetowych muszą zabezpieczyć swoje systemy przed takimi atakami za pomocą wiarygodnych produktów zabezpieczających i upewniając się, że używają bezpiecznych danych logowania. Co nie mniej ważne, powinni również regularnie stosować najnowsze aktualizacje i łatki bezpieczeństwa.