Bezpečnostní výzkumníci zjistili, že útočníci nasazují linuxová zadní vrátka na kompromitované servery obchodů poté, co na stránky online obchodů vložili skimmer kreditních karet.

Webový skimmer s kódováním PHP (skript určený ke krádeži a exfiltraci platebních a osobních údajů zákazníků) je přidán a maskován jako soubor obrázku .JPG ve složce /app/design/frontend/.

Útočníci používají tento skript ke stažení a vložení falešných platebních formulářů na stránky pokladny, které zákazníkům zobrazí napadený internetový obchod.

„Zjistili jsme, že útočník začal s automatizovanými testovacími útoky a testoval desítky slabin běžných platforem online obchodů,“ odhalil tým Sansec Threat Research.

“Po dni a půl útočník našel chybu zabezpečení při nahrávání souborů v jednom z pluginů obchodu. Poté nahrál web shell a upravil kód serveru tak, aby zachytil zákaznická data.”

Linux malware nezjistil bezpečnostní software

Malware založený na Golangu, který na stejném serveru zaznamenala nizozemská společnost pro kybernetickou bezpečnost Sansec, byl stažen a spuštěn na narušených serverech jako spustitelný soubor linux_avp.

Po spuštění se okamžitě odstraní z disku a maskuje se jako proces „ps -ef“, který se používá k získání seznamu aktuálně běžících procesů.

Při analýze zadních vrátek linux_avp Sansec zjistil, že čeká na příkazy z pekingského serveru hostovaného v síti Alibaba.

Zjistili také, že malware by získal perzistenci přidáním nové položky crontab, která by znovu stáhla škodlivý obsah ze svého řídícího serveru a znovu nainstalovala zadní vrátka, pokud by byla detekována a odstraněna nebo by se server restartoval.

Až dosud zůstávají tato zadní vrátka nezjištěna antimalwarovými testy na VirusTotal, přestože byl vzorek poprvé nahrán před více než měsícem, 8. října.

Uživatel, který nahrál obsah, může být tvůrcem linux_avp, protože byl odeslán jeden den poté, co ho výzkumníci objevili při vyšetřování narušení webu elektronického obchodu.

Zdroj: bleepingcomputer.com

@RadekVyskovsky