Хакеры развертывают вредоносное ПО для Linux и веб-скиммеры на серверах электронной коммерции

6
Новое вредоносное ПО для Linux прячется в заданиях cron с недопустимыми датами

Исследователи безопасности обнаружили, что злоумышленники также развертывают бэкдор Linux на скомпрометированных серверах электронной коммерции после внедрения скиммера кредитной карты на веб-сайты интернет-магазинов.

Веб-скиммер с кодом PHP (скрипт, предназначенный для кражи и эксфильтрации платежной и личной информации клиентов) добавлен и замаскирован как файл изображения .JPG в папке / app / design / frontend /.

Злоумышленники используют этот скрипт для загрузки и внедрения фальшивых форм оплаты на страницы оформления заказа, отображаемые для клиентов взломанным интернет-магазином.

«Мы обнаружили , что злоумышленник начал с помощью автоматизированных датчиков электронной коммерции атаки, тестирование на десятки слабых мест в общих интернет — магазине платформ,» Sansec Threat Research Team показали .

«Через полтора дня злоумышленник обнаружил уязвимость загрузки файлов в одном из плагинов магазина. Затем он / она загрузил веб-оболочку и изменил код сервера, чтобы перехватить данные клиентов».

Вредоносные программы для Linux не обнаруживаются программным обеспечением безопасности

Вредоносная программа на основе Golang, обнаруженная голландской компанией по кибербезопасности Sansec на том же сервере, была загружена и запущена на взломанных серверах как исполняемый файл linux_avp.

После запуска он немедленно удаляется с диска и маскируется под процесс «ps -ef», который будет использоваться для получения списка запущенных в данный момент процессов.

Анализируя бэкдор linux_avp, Sansec обнаружил, что он ожидает команд от пекинского сервера, размещенного в сети Alibaba.

Они также обнаружили, что вредоносная программа получит постоянство, добавив новую запись в crontab, которая будет повторно загружать вредоносные полезные данные со своего командно-управляющего сервера и переустанавливать бэкдор в случае обнаружения и удаления или перезапуска сервера.

До сих пор этот бэкдор остается незамеченным антивирусными модулями на VirusTotal, даже несмотря на то, что образец был впервые загружен более месяца назад, 8 октября.

Загрузчиком может быть создатель linux_avp, поскольку он был отправлен на следующий день после того, как исследователи из голландской компании по кибербезопасности Sansec обнаружили его во время расследования взлома сайта электронной коммерции.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here