Com o crescimento do Linux no mercado corporativo, também está aumentando o uso de mecanismos que consigam burlar a segurança do sistema e comprometer os serviços em benefício de cibercriminosos. No mais recente episódio, hackers implantam novo malware no Linux e web skimmer em servidores de comércio eletrônico.
Os pesquisadores de segurança descobriram que os invasores também estão implantando um backdoor do Linux em servidores de e-commerce comprometidos após injetar um skimmer de cartão de crédito em sites de lojas online. O skimmer codificado em PHP (um script projetado para roubar e exfiltrar informações pessoais e de pagamento dos clientes) é adicionado e camuflado como um arquivo de imagem .JPG na pasta /app/design/frontend/.
Os invasores usam esse script para baixar e injetar formulários de pagamento falsos nas páginas de checkout exibidas aos clientes pela loja online invadida.
Hackers implantam novo malware no Linux e web skimmer em servidores de comércio eletrônico
“Descobrimos que o invasor começou com sondagens de ataque automatizadas de comércio eletrônico, testando dezenas de pontos fracos em plataformas de lojas online comuns”, revelou a Equipe de Pesquisa de Ameaças da Sansec.
“Depois de um dia e meio, o invasor descobriu uma vulnerabilidade de upload de arquivo em um dos plug-ins da loja. Ele então fez o upload de um webshell e modificou o código do servidor para interceptar os dados do cliente.”
Malware Linux não detectado pelo software de segurança
O malware baseado em Golang, detectado pela empresa holandesa de segurança cibernética Sansec no mesmo servidor, foi baixado e executado em servidores violados como um executável linux_avp.
Uma vez iniciado, ele imediatamente se remove do disco e se disfarça como um processo “ps -ef” que seria usado para obter uma lista dos processos em execução no momento.
Ao analisar o backdoor linux_avp, Sansec descobriu que ele espera por comandos de um servidor de Pequim hospedado na rede do Alibaba.
Eles também descobriram que o malware ganharia persistência adicionando uma nova entrada crontab que baixaria novamente a carga maliciosa de seu servidor de comando e controle e reinstalaria o backdoor se detectado e removido ou o servidor seria reiniciado.
Até agora, esse backdoor permanece não detectado pelos mecanismos anti-malware no VirusTotal, embora uma amostra tenha sido carregada pela primeira vez há mais de um mês, em 8 de outubro.
O uploader pode ser o criador do linux_avp, pois foi enviado um dia depois que pesquisadores da empresa holandesa de segurança cibernética Sansec o detectaram enquanto investigavam a violação do site de comércio eletrônico.
Via BleepingComputer