Ερευνητές ασφαλείας ανακάλυψαν ότι οι εισβολείς αναπτύσσουν ένα Linux backdoor σε παραβιασμένους e-commerce servers μετά την εισαγωγή ενός credit card skimmer στους ιστότοπους των ηλεκτρονικών καταστημάτων.
Το web skimmer με κωδικοποίηση PHP (ένα script που έχει σχεδιαστεί για να κλέβει και να εκμεταλλεύεται τις πληρωμές και τα προσωπικά στοιχεία των πελατών) προστίθεται και καμουφλάρεται ως αρχείο εικόνας .JPG στο φάκελο /app/design/frontend/.
Δείτε επίσης: Κυκλοφόρησε το Windows Subsystem για Linux (WSL) 0.50.2
Οι εισβολείς χρησιμοποιούν αυτό το script για να κατεβάσουν και να εισάγουν ψεύτικες φόρμες πληρωμής σε σελίδες ολοκλήρωσης αγοράς που εμφανίζονται στους πελάτες από το παραβιασμένο ηλεκτρονικό κατάστημα.
Linux malware που δεν ανιχνεύεται από λογισμικό ασφαλείας
Το malware που βασίζεται στο Golang, το οποίο εντοπίστηκε από την ολλανδική εταιρεία κυβερνοασφάλειας Sansec στον ίδιο server, κατέβηκε και εκτελέστηκε σε servers που είχαν παραβιαστεί ως executable linux_avp.
Μόλις εκκινηθεί, αφαιρείται αμέσως από το δίσκο και καμουφλάρεται ως διαδικασία “ps -ef” που θα χρησιμοποιηθεί για τη λήψη μιας λίστας διεργασιών που εκτελούνται αυτήν τη στιγμή.
Δείτε επίσης: Η Microsoft μόλις επέκτεινε την malware προστασία της για servers Linux
Κατά την ανάλυση του linux_avp backdoor, η Sansec διαπίστωσε ότι περιμένει εντολές από έναν “Beijing server” που φιλοξενείται στο δίκτυο της Alibaba.
Ανακάλυψαν επίσης ότι το malware θα αποκτούσε persistence προσθέτοντας μια νέα καταχώρηση crontab που θα κατέβαζε εκ νέου το κακόβουλο payload από τον command-and-control server και θα επανεγκαταστήσει το backdoor εάν εντοπιστεί και αφαιρεθεί ή επανεκκινηθεί ο server.
Μέχρι τώρα, αυτό το backdoor παραμένει απαρατήρητο από μηχανές προστασίας από malware στο VirusTotal, παρόλο που ένα δείγμα ανέβηκε για πρώτη φορά πριν από περισσότερο από ένα μήνα, στις 8 Οκτωβρίου.
Δείτε επίσης: Google: Μόλις τριπλασίασε την αμοιβή της για σφάλματα πυρήνα Linux
Ο uploader ενδέχεται να είναι ο δημιουργός του linux_avp, καθώς υποβλήθηκε μία ημέρα αφότου ερευνητές της ολλανδικής εταιρείας κυβερνοασφάλειας Sansec το εντόπισαν κατά τη διερεύνηση της παραβίασης του e-commerce site.
Πηγή πληροφοριών: bleepingcomputer.com
