Hackers αναπτύσσουν Linux malware σε e-commerce servers

Ερευνητές ασφαλείας ανακάλυψαν ότι οι εισβολείς αναπτύσσουν ένα Linux backdoor σε παραβιασμένους e-commerce servers μετά την εισαγωγή ενός credit card skimmer στους ιστότοπους των ηλεκτρονικών καταστημάτων.

Το web skimmer με κωδικοποίηση PHP (ένα script που έχει σχεδιαστεί για να κλέβει και να εκμεταλλεύεται τις πληρωμές και τα προσωπικά στοιχεία των πελατών) προστίθεται και καμουφλάρεται ως αρχείο εικόνας .JPG στο φάκελο /app/design/frontend/.

Linux malware που δεν ανιχνεύεται από λογισμικό ασφαλείας

Το malware που βασίζεται στο Golang, το οποίο εντοπίστηκε από την ολλανδική εταιρεία κυβερνοασφάλειας Sansec στον ίδιο server, κατέβηκε και εκτελέστηκε σε servers που είχαν παραβιαστεί ως executable linux_avp.

Μόλις εκκινηθεί, αφαιρείται αμέσως από το δίσκο και καμουφλάρεται ως διαδικασία “ps -ef” που θα χρησιμοποιηθεί για τη λήψη μιας λίστας διεργασιών που εκτελούνται αυτήν τη στιγμή.

Κατά την ανάλυση του linux_avp backdoor, η Sansec διαπίστωσε ότι περιμένει εντολές από έναν “Beijing server” που φιλοξενείται στο δίκτυο της Alibaba.

Ανακάλυψαν επίσης ότι το malware θα αποκτούσε persistence προσθέτοντας μια νέα καταχώρηση crontab που θα κατέβαζε εκ νέου το κακόβουλο payload από τον command-and-control server και θα επανεγκαταστήσει το backdoor εάν εντοπιστεί και αφαιρεθεί ή επανεκκινηθεί ο server.

Μέχρι τώρα, αυτό το backdoor παραμένει απαρατήρητο από μηχανές προστασίας από malware στο VirusTotal, παρόλο που ένα δείγμα ανέβηκε για πρώτη φορά πριν από περισσότερο από ένα μήνα, στις 8 Οκτωβρίου.

Ο uploader ενδέχεται να είναι ο δημιουργός του linux_avp, καθώς υποβλήθηκε μία ημέρα αφότου ερευνητές της ολλανδικής εταιρείας κυβερνοασφάλειας Sansec το εντόπισαν κατά τη διερεύνηση της παραβίασης του e-commerce site.