Des chercheurs en sécurité ont découvert que des attaquants déployaient également une porte dérobée Linux sur des serveurs de commerce électronique compromis après avoir injecté un écumeur de carte de crédit dans les sites Web des boutiques en ligne.
L’écumeur Web codé en PHP (un script conçu pour voler et exfiltrer le paiement et les informations personnelles des clients) est ajouté et camouflé en tant que fichier image .JPG dans le dossier /app/design/frontend/.
Les attaquants utilisent ce script pour télécharger et injecter de faux formulaires de paiement sur les pages de paiement affichées aux clients par la boutique en ligne piratée.
« Nous avons découvert que l’attaquant avait commencé avec des sondes d’attaque automatisées pour le commerce électronique, testant des dizaines de faiblesses dans les plates-formes de magasins en ligne courantes », a déclaré l’équipe de recherche sur les menaces de Sansec. révélé.
« Après un jour et demi, l’attaquant a trouvé une vulnérabilité de téléchargement de fichier dans l’un des plugins du magasin. Il a ensuite téléchargé un webshell et modifié le code du serveur pour intercepter les données des clients. »
Malware Linux non détecté par les logiciels de sécurité
Le malware basé sur Golang, repéré par la société de cybersécurité néerlandaise Sansec sur le même serveur, a été téléchargé et exécuté sur des serveurs violés en tant qu’exécutable linux_avp.
Une fois lancé, il se retire immédiatement du disque et se camoufle en un processus « ps -ef » qui serait utilisé pour obtenir une liste des processus en cours d’exécution.
En analysant la porte dérobée linux_avp, Sansec a découvert qu’elle attend les commandes d’un serveur de Pékin hébergé sur le réseau d’Alibaba.
Ils ont également découvert que le malware gagnerait en persistance en ajoutant une nouvelle entrée crontab qui retéléchargerait la charge utile malveillante à partir de son serveur de commande et de contrôle et réinstallerait la porte dérobée si elle est détectée et supprimée ou si le serveur redémarre.
Jusqu’à présent, cette porte dérobée reste non détecté par les moteurs anti-malware sur VirusTotal même si un échantillon a été téléchargé pour la première fois il y a plus d’un mois, le 8 octobre.
Le téléchargeur pourrait être le créateur de linux_avp puisqu’il a été soumis un jour après que des chercheurs de la société néerlandaise de cybersécurité Sansec l’aient repéré alors qu’ils enquêtaient sur la violation du site de commerce électronique.