Pesquisadores de segurança descobriram que hackers estão implantando um backdoor em servidores Linux de e-commerce comprometidos.
Sim. Alguns pesquisadores de segurança descobriram que os invasores também estão implantando um backdoor em servidores Linux de e-commerce comprometidos após injetar um skimmer de cartão de crédito em sites de lojas online.
Hackers estão implantando um backdoor em servidores Linux de e-commerce comprometidos
O skimmer codificado em PHP (um script projetado para roubar e exfiltrar informações pessoais e de pagamento dos clientes) é adicionado e camuflado como um arquivo de imagem .JPG na pasta /app/design/frontend/.
Os invasores usam esse script para baixar e injetar formulários de pagamento falsos nas páginas de checkout exibidas aos clientes pela loja online invadida.
“Descobrimos que o invasor começou com sondagens de ataque automatizadas de comércio eletrônico, testando dezenas de pontos fracos em plataformas de lojas online comuns”, revelou a Equipe de Pesquisa de Ameaças da Sansec.
“Depois de um dia e meio, o invasor descobriu uma vulnerabilidade de upload de arquivo em um dos plug-ins da loja. Ele então fez o upload de um webshell e modificou o código do servidor para interceptar os dados do cliente.”
We found a new Golang malware agent "linux_avp".
✔️ targets eCommerce sites
✔️ hidden as "ps -ef" process
✔️ uses PKI
✔️ Alibaba hosted control server
✔️ compiled by user "dob"https://t.co/b40yS00EEd— Sansec (@sansecio) November 18, 2021
Malware Linux não detectado pelo software de segurança
O malware baseado em Golang, detectado pela empresa holandesa de segurança cibernética Sansec no mesmo servidor, foi baixado e executado em servidores violados como um executável linux_avp.
Uma vez iniciado, ele imediatamente se remove do disco e se disfarça como um processo “ps -ef” que seria usado para obter uma lista dos processos em execução no momento.
Ao analisar o backdoor linux_avp, Sansec descobriu que ele espera por comandos de um servidor de Pequim hospedado na rede do Alibaba.
Eles também descobriram que o malware ganharia persistência adicionando uma nova entrada crontab que baixaria novamente a carga maliciosa de seu servidor de comando e controle e reinstalaria o backdoor se detectado e removido ou o servidor seria reiniciado.
Até agora, esse backdoor permanece não detectado pelos mecanismos anti-malware no VirusTotal, embora uma amostra tenha sido carregada pela primeira vez há mais de um mês, em 8 de outubro.
O uploader pode ser o criador do linux_avp, pois foi enviado um dia depois que pesquisadores da empresa holandesa de segurança cibernética Sansec o detectaram enquanto investigavam a violação do site de comércio eletrônico.
