Вредонос на Golang под Linux атакует сайты электронной коммерции

23 ноября 2021 г. 10:46
 2077

Уязвимости порталов электронной коммерции позволяют похищать платежную информацию со взломанных сайтов.

Уязвимости порталов электронной коммерции используются для установки бэкдора Linux, а также скиммера кредитных карт, способного похищать платежную информацию со взломанных сайтов.

«Злоумышленник начал с автоматизированных атак на онлайн-магазины, проверяя десятки уязвимостей в распространенных платформах» - сообщается в анализе исследователей из Sansec Threat Research. «Через полтора дня злоумышленник обнаружил уязвимость загрузки файлов в одном из плагинов магазина». Название пострадавшего торговца не было раскрыто.

Первоначальный плацдарм был использован для загрузки вредоносной веб-оболочки и изменения кода сервера для перехвата данных клиентов. Кроме того, злоумышленник распространил вредоносную программу на базе языка Golang под названием «linux_avp», которая служит бэкдором для выполнения команд, удаленно отправленных с командно-контрольного сервера, расположенного в Пекине.

После выполнения программа удаляется с диска и маскируется под процесс «ps -ef», который является утилитой для отображения запущенных процессов в Unix-подобных операционных системах.

Голландская компания по кибербезопасности заявила, что она также обнаружила веб-скиммер с PHP-кодом, который маскируется под favicon-изображение («favicon_absolute_top.jpg») и добавляется в код платформы онлайн-магазина с целью внедрения мошеннических платежных форм и кражи информации о кредитных картах, вводимой клиентами, в режиме реального времени перед передачей их на удаленный сервер.

Кроме того, исследователи Sansec сообщили, что PHP-код был размещен на сервере, расположенном в Гонконге, и что ранее он использовался в качестве «конечной точки извлечения результатов скимминга в июле и августе этого года».

Источник: https://thehackernews.com

Системы Информационной Безопасности