Новый вредонос под Linux нацелен на порталы электронной коммерции

image-loader.svg

Уязвимость порталов электронной коммерции позволяет злоумышленникам развертывать бэкдор Linux, а также внедрять скиммер кредитных карт, крадущий платежную информацию с целевых сайтов.

Как сообщают исследователи из SANS Threat Research:

«Злоумышленник начал с поиска слабых мест в популярных онлайн-магазинах с помощью атакующих зондов. На второй день ему удалось найти в одном из плагинов магазина уязвимость, связанную с загрузкой файлов».


Название вендора-жертвы в сообщении не раскрывается.

Эта начальная точка опоры в последствии использовалась для загрузки вредоносной веб-оболочки и модификации кода сервера на слив клиентских данных. Кроме того, атакующий загрузил туда написанную на Go малварь linux_avp, которая служит в качестве бэкдора для удаленного выполнения команд, передаваемых с C&C-сервера, расположенного в Пекине.

image-loader.svg


Изначально программа маскируется под утилиту ps-ef, отвечающую за отображение активных процессов в Unix-системах. По завершению же своих грязных дел она самоликвидируется.

В SANS, также обнаружили написанный на PHP веб-скиммер под видом иконки сайта (favicon_absolute_top.jpg), который был добавлен в код платформы электронной коммерции с целью подмены платежных форм и кражи вводимых клиентами данных кредитных карт в реальном времени с последующей их передачей удаленному серверу.

Кроме того, исследователи сообщили, что этот PHP-код размещался на сервере в Гонконге и в июле-августе текущего года использовался в качестве конечной точки эксфильтрации данных при скимминге.

image-loader.svg

© Habrahabr.ru