Linux_avp: un nuevo malware dirigido a sitios web de e-commerce

Se ha descubierto un nuevo backdoor de Linux, denominado linux_avp, que abusa de las debilidades de sitios de comercio electrónico de todo el mundo. Los expertos afirman que estaba recibiendo comandos de un servidor de control ubicado en Beijing. Según los investigadores, los atacantes están explotando las debilidades de los portales de comercio electrónico con […]

Se ha descubierto un nuevo backdoor de Linux, denominado linux_avp, que abusa de las debilidades de sitios de comercio electrónico de todo el mundo. Los expertos afirman que estaba recibiendo comandos de un servidor de control ubicado en Beijing.

Según los investigadores, los atacantes están explotando las debilidades de los portales de comercio electrónico con el fin de implementar linux_avp, junto con un skimmer de tarjetas de crédito, para así robar información de pago.

El atacante utilizó un ataque de comercio electrónico automatizado para descubrir docenas de debilidades en las plataformas de las tiendas en línea.
Después de escanear durante un día y medio, el atacante descubrió una vulnerabilidad de carga de archivos en uno de los complementos de la tienda.

Explotaron esta vulnerabilidad para ganar un punto de apoyo inicial. Luego, cargaron un shell web malicioso y alteraron el código del servidor para desviar los datos del cliente. Posteriormente, entregaron una puerta trasera linux_avp, que permitía a los atacantes ejecutar comandos enviados de forma remota desde un servidor C2 en Beijing.

Después de la ejecución, el malware se elimina del disco y se oculta como un proceso falso llamado “ps -ef”, que es una utilidad para mostrar los procesos que se están ejecutando actualmente en Unix o sistemas operativos similares a Unix.

Además, los investigadores han descubierto un skimmer web codificado en PHP que se agrega al código de la plataforma de comercio electrónico.
Este skimmer pretende ser una imagen de favicon (favicon_absolute_top [.] Jpg).

Se utiliza para inyectar formularios de pago fraudulentos y robar información de tarjetas de crédito que ingresan los clientes en tiempo real antes de que se transmitan a un servidor remoto.
El código PHP estaba alojado en un servidor con sede en Hong Kong y anteriormente se utilizaba como punto final para eliminar la exfiltración en julio y agosto.