Foto di Elchinator da Pixabay


Una nuova backdoor di Linux, denominata linux_avp, è stata scoperta sfruttare vulnerabilità nei siti di e-commerce in tutto il mondo. Gli esperti affermano che stava ricevendo comandi da un server di controllo situato a Pechino.


Sansec, una società specializzata nel rilevamento di malware e vulnerabilità nei siti di e-commerce, ha scoperto un nuovo malware "linux_avp" che si nasconde come processo di sistema sui server e-commerce. Il malware è stato distribuito in tutto il mondo a partire dalla scorsa settimana e, stando all'analisi fornita, prende i comandi da un server di controllo a Pechino. 


La scoperta è stata fatta a seguito di una consulenza da parte di un cliente che si era rivolto a Santec per risolvere un problema di malware in un suo negozio di e-commerce. 


L'aggressore ha iniziato a sondare il sito di e-commerce vittima dell'attacco riuscendo a trovare una vulnerabilità di caricamento dei file in uno dei plugin dello store. Ha quindi caricato una webshell e modificato il codice del server per intercettare i dati dei clienti.


L'attaccante ha anche caricato un eseguibile Linux chiamato linux_avp. Questo programma Golang si avvia, si rimuove dal disco e si traveste come un falso processo ps -ef


L'analisi di linux_avp suggerisce che serve come backdoor, in attesa di comandi da un server ospitato a Pechino (Alibaba). 


Il malware linux_avp inietta anche una voce di crontab dannosa, per garantire l'accesso nel caso in cui il processo venga rimosso o il server riavviato.


I ricercatori di Santec hanno inoltre scoperto che uno skimmer web con codice PHP viene aggiunto al codice della piattaforma di e-commerce. Questo skimmer finge di essere una immagine favicon e viene utilizzato per iniettare moduli di pagamento fraudolenti e rubare dati sulla carta di credito immessi dai clienti.

Il codice PHP è stato ospitato su un server con sede a Hong Kong ed è stato precedentemente utilizzato come endpoint per la scrematura dell'esfiltrazione a luglio e agosto.