Notícias

18/11/2021 às 21:00

5 min leitura

Avatar Autor
Por Claylson Martins

Hackers implantam novo malware no Linux e web skimmer em servidores de comércio eletrônico

As melhores ofertas de software da Black Friday 2021: obtenha o Windows 10 Pro por 11€ e atualize para o Windows 11 Pro gratuitamente!

Com o crescimento do Linux no mercado corporativo, também está aumentando o uso de mecanismos que consigam burlar a segurança do sistema e comprometer os serviços em benefício de cibercriminosos. No mais recente episódio, hackers implantam novo malware no Linux e web skimmer em servidores de comércio eletrônico.

Os pesquisadores de segurança descobriram que os invasores também estão implantando um backdoor do Linux em servidores de e-commerce comprometidos após injetar um skimmer de cartão de crédito em sites de lojas online. O skimmer codificado em PHP (um script projetado para roubar e exfiltrar informações pessoais e de pagamento dos clientes) é adicionado e camuflado como um arquivo de imagem .JPG na pasta /app/design/frontend/.

Os invasores usam esse script para baixar e injetar formulários de pagamento falsos nas páginas de checkout exibidas aos clientes pela loja online invadida.

Hackers implantam novo malware no Linux e web skimmer em servidores de comércio eletrônico

Hackers implantam novo malware no Linux e web skimmer em servidores de comércio eletrônico
Hackers implantam novo malware no Linux e web skimmer em servidores de comércio eletrônico

“Descobrimos que o invasor começou com sondagens de ataque automatizadas de comércio eletrônico, testando dezenas de pontos fracos em plataformas de lojas online comuns”, revelou a Equipe de Pesquisa de Ameaças da Sansec.

“Depois de um dia e meio, o invasor descobriu uma vulnerabilidade de upload de arquivo em um dos plug-ins da loja. Ele então fez o upload de um webshell e modificou o código do servidor para interceptar os dados do cliente.”

Malware Linux não detectado pelo software de segurança

O malware baseado em Golang, detectado pela empresa holandesa de segurança cibernética Sansec no mesmo servidor, foi baixado e executado em servidores violados como um executável linux_avp.

Uma vez iniciado, ele imediatamente se remove do disco e se disfarça como um processo “ps -ef” que seria usado para obter uma lista dos processos em execução no momento.

Ao analisar o backdoor linux_avp, Sansec descobriu que ele espera por comandos de um servidor de Pequim hospedado na rede do Alibaba.

Eles também descobriram que o malware ganharia persistência adicionando uma nova entrada crontab que baixaria novamente a carga maliciosa de seu servidor de comando e controle e reinstalaria o backdoor se detectado e removido ou o servidor seria reiniciado.

Até agora, esse backdoor permanece não detectado pelos mecanismos anti-malware no VirusTotal, embora uma amostra tenha sido carregada pela primeira vez há mais de um mês, em 8 de outubro.

O uploader pode ser o criador do linux_avp, pois foi enviado um dia depois que pesquisadores da empresa holandesa de segurança cibernética Sansec o detectaram enquanto investigavam a violação do site de comércio eletrônico.

Via BleepingComputer

Jornalista com pós graduações em Economia, Jornalismo Digital e Radiodifusão. Nas horas não muito vagas, professor, fotógrafo, apaixonado por rádio e natureza.

Últimos artigos

Newsletter

Receba nossas atualizações!

Newsletter

Receba nossas atualizações!
  • Este campo é para fins de validação e não deve ser alterado.
×