Hackers estão implantando um backdoor em servidores Linux de e-commerce comprometidos

Pesquisadores de segurança descobriram que hackers estão implantando um backdoor em servidores Linux de e-commerce comprometidos.

Sim. Alguns pesquisadores de segurança descobriram que os invasores também estão implantando um backdoor em servidores Linux de e-commerce comprometidos após injetar um skimmer de cartão de crédito em sites de lojas online.

Hackers estão implantando um backdoor em servidores Linux de e-commerce comprometidos

Hackers estão implantando um backdoor em servidores Linux de e-commerce comprometidos
Hackers estão implantando um backdoor em servidores Linux de e-commerce comprometidos

O skimmer codificado em PHP (um script projetado para roubar e exfiltrar informações pessoais e de pagamento dos clientes) é adicionado e camuflado como um arquivo de imagem .JPG na pasta /app/design/frontend/.

Os invasores usam esse script para baixar e injetar formulários de pagamento falsos nas páginas de checkout exibidas aos clientes pela loja online invadida.

“Descobrimos que o invasor começou com sondagens de ataque automatizadas de comércio eletrônico, testando dezenas de pontos fracos em plataformas de lojas online comuns”, revelou a Equipe de Pesquisa de Ameaças da Sansec.

“Depois de um dia e meio, o invasor descobriu uma vulnerabilidade de upload de arquivo em um dos plug-ins da loja. Ele então fez o upload de um webshell e modificou o código do servidor para interceptar os dados do cliente.”


Malware Linux não detectado pelo software de segurança

O malware baseado em Golang, detectado pela empresa holandesa de segurança cibernética Sansec no mesmo servidor, foi baixado e executado em servidores violados como um executável linux_avp.

Uma vez iniciado, ele imediatamente se remove do disco e se disfarça como um processo “ps -ef” que seria usado para obter uma lista dos processos em execução no momento.

Ao analisar o backdoor linux_avp, Sansec descobriu que ele espera por comandos de um servidor de Pequim hospedado na rede do Alibaba.

Eles também descobriram que o malware ganharia persistência adicionando uma nova entrada crontab que baixaria novamente a carga maliciosa de seu servidor de comando e controle e reinstalaria o backdoor se detectado e removido ou o servidor seria reiniciado.

Até agora, esse backdoor permanece não detectado pelos mecanismos anti-malware no VirusTotal, embora uma amostra tenha sido carregada pela primeira vez há mais de um mês, em 8 de outubro.

O uploader pode ser o criador do linux_avp, pois foi enviado um dia depois que pesquisadores da empresa holandesa de segurança cibernética Sansec o detectaram enquanto investigavam a violação do site de comércio eletrônico.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.