in

Nuevo malware de Linux basado en Golang dirigido a sitios web de comercio electrónico


Malware de Linux

Las vulnerabilidades en los portales de comercio electrónico se aprovechan para implementar una puerta trasera de Linux y un skimmer de tarjetas de crédito que pueden robar información de pago de sitios web comprometidos.

«El atacante comenzó con muestras de ataques de comercio electrónico automatizados y probó docenas de vulnerabilidades en plataformas populares de tiendas en línea», dijeron investigadores de Sansec Threat Research en un análisis. «Después de un día y medio, el atacante encontró una vulnerabilidad mientras cargaba archivos en uno de los complementos de la tienda». No se reveló el nombre del proveedor afectado.

Copias de seguridad automáticas de GitHub

Luego, la base inicial se utilizó para cargar un shell web malicioso y modificar el código del servidor para acceder a los datos del cliente. Además, el atacante entregó un malware basado en Golang llamado «linux_avp» que actúa como una puerta trasera para ejecutar de forma remota comandos enviados desde un servidor de comando y control alojado en Beijing.

Malware de Linux basado en Golang

Cuando se ejecuta, el programa está diseñado de tal manera que se quita del disco y se disfraza como un proceso «ps -ef», que es una utilidad para mostrar los procesos actualmente en ejecución en Unix y sistemas operativos similares a Unix.

Prevenir filtraciones de datos

La firma holandesa de ciberseguridad dijo que también había descubierto un skimmer web codificado en PHP disfrazado como una imagen de favicon («favicon_absolute_top.jpg») y agregado al código de la plataforma de comercio electrónico para contrabandear formularios de pago fraudulentos e información de tarjetas de crédito ingresada para robar a los clientes. en tiempo real antes de transferirlos a un servidor remoto.

Además, los investigadores de Sansec dijeron que el código PHP estaba alojado en un servidor en Hong Kong y anteriormente se usaba como un «punto final de exfiltración» en julio y agosto de este año.



What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

El programa utiliza el secuestro de ejecución de subprocesos para inyectar código de shell nativo en una aplicación Win32 estándar

Convierta archivos MP4 a MP3 fácilmente con estas 6 herramientas