Malware 'linux_avp' usado para plantar skimmers da web
O Malware 'linux_avp' é um implante malicioso muito específico que foi descoberto em servidores de comércio eletrônico. O objetivo principal da ameaça maliciosa é modificar o conteúdo de arquivos específicos de e-commerce para executar um ataque online de skimming. Em vez de modificar o formulário de pagamento original, os criminosos estão criando páginas de checkout e formulários de pagamento falsos que coletam as credenciais do usuário. Obviamente, para plantar o malware 'linux_avp', os criminosos precisam primeiro penetrar nas defesas do servidor que eles têm como alvo. Não há informações suficientes para determinar o vetor de infecção exato que eles usam, mas eles provavelmente dependem de phishing, vulnerabilidades em software desatualizado ou credenciais de login mal protegidas.
O implante usado para manipular o conteúdo de formulários e páginas parece ter sido escrito na linguagem de programação Go, que se tornou muito popular entre os desenvolvedores de malware. Os criminosos parecem sempre usar o nome 'linux_avp' para seus implantes. Supostamente, eles o estão controlando por meio de comandos remotos que parecem se originar de um servidor baseado na China pertencente à rede Alibaba. No entanto, isso não confirma que os perpetradores sejam da China - eles podem estar apenas alugando o servidor.
Por último, mas não menos importante, o arquivo malicioso ganha persistência ao configurar novos cron jobs em sistemas Linux. Os administradores de lojas online precisam proteger seus sistemas contra esses ataques, utilizando produtos de segurança confiáveis e garantindo que estejam usando credenciais de login seguras. Por último, mas não menos importante, eles também devem aplicar as atualizações e patches de segurança mais recentes regularmente.