Новый вредонос под Linux нацелен на порталы электронной коммерции
Уязвимость порталов электронной коммерции позволяет злоумышленникам развертывать бэкдор Linux, а также внедрять скиммер кредитных карт, крадущий платежную информацию с целевых сайтов.
Как сообщают исследователи из SANS Threat Research:
«Злоумышленник начал с поиска слабых мест в популярных онлайн-магазинах с помощью атакующих зондов. На второй день ему удалось найти в одном из плагинов магазина уязвимость, связанную с загрузкой файлов».
Название вендора-жертвы в сообщении не раскрывается.
Эта начальная точка опоры в последствии использовалась для загрузки вредоносной веб-оболочки и модификации кода сервера на слив клиентских данных. Кроме того, атакующий загрузил туда написанную на Go малварь linux_avp
, которая служит в качестве бэкдора для удаленного выполнения команд, передаваемых с C&C-сервера, расположенного в Пекине.
Изначально программа маскируется под утилиту ps-ef
, отвечающую за отображение активных процессов в Unix-системах. По завершению же своих грязных дел она самоликвидируется.
В SANS, также обнаружили написанный на PHP веб-скиммер под видом иконки сайта (favicon_absolute_top.jpg
), который был добавлен в код платформы электронной коммерции с целью подмены платежных форм и кражи вводимых клиентами данных кредитных карт в реальном времени с последующей их передачей удаленному серверу.
Кроме того, исследователи сообщили, что этот PHP-код размещался на сервере в Гонконге и в июле-августе текущего года использовался в качестве конечной точки эксфильтрации данных при скимминге.