Clicky

Nuevo malware de Linux basado en Golang dirigido a sitios web de comercio electrónico

Comercio electrónico

"linux_avp" sirve como puerta trasera para ejecutar comandos enviados de forma remota

Se están aprovechando las debilidades en los portales de comercio electrónico para implementar una puerta trasera de Linux, así como un skimmer de tarjetas de crédito que es capaz de robar información de pago de sitios web comprometidos.

"El atacante comienza con sondeos automatizados de ataques de comercio electrónico, probando docenas de debilidades en plataformas comunes de tiendas en línea", dijeron en un análisis investigadores de Sansec Threat Research. "Después de un día y medio, el atacante encontró una vulnerabilidad de carga de archivos en uno de los plugins de la tienda". No se reveló el nombre del proveedor afectado.

Luego, se aprovechó el punto de apoyo inicial para cargar un shell web malicioso y alterar el código del servidor para desviar los datos del cliente. Además, el atacante entregó un malware basado en Golang llamado "linux_avp" que sirve como puerta trasera para ejecutar comandos enviados de forma remota desde un servidor de comando y control alojado en Beijing.

Golang malware

Tras la ejecución, el programa está diseñado para quitarse del disco y camuflarse como un proceso "ps-ef", que es una utilidad para mostrar los procesos que se están ejecutando actualmente en Unix y sistemas operativos similares a Unix.

La firma holandesa de ciberseguridad dijo que también descubrió un skimmer web codificado en PHP que se disfrazó como una imagen de favicon ("favicon_absolute_top.jpg") y agregado al código de la plataforma de comercio electrónico con el objetivo de inyectar formas de pago fraudulentas y robar información de tarjetas de crédito ingresadas por los clientes en tiempo real, antes de transmitirlas a un servidor remoto.

Además, los investigadores de Sansec dijeron que el código PHP estaba alojado en un servidor ubicado en Hong Kong y que anteriormente se usó como un "punto final de exfiltración de skimming en julio y agosto de este año".

Jesus_Caceres