This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Nuevos sitios web de comercio electrónico dirigidos a malware de Linux

  • 0 Replies
  • 766 Views

0 Members and 1 Guest are viewing this topic.

Online Dragora

  • *
  • Moderador Global
  • Posts: 1853
  • Actividad:
    100%
  • Country: gt
  • Reputación 23
  • La resistencia es inútil, serás absorbido.
    • View Profile

Se están aprovechando las debilidades en los portales de comercio electrónico para implementar una puerta trasera de Linux, así como un skimmer de tarjetas de crédito que es capaz de robar información de pago de sitios web comprometidos.

"El atacante comenzó con sondas de ataque de comercio electrónico automatizados, las pruebas de de puntos débiles en plataformas comunes decenas de tiendas en línea", investigadores de investigación de amenazas Sansec dijo en un análisis. "Después de un día y medio, el atacante encontró una vulnerabilidad de carga de archivos en uno de los complementos de la tienda". No se reveló el nombre del proveedor afectado.

Luego, se aprovechó el punto de apoyo inicial para cargar un shell web malicioso y alterar el código del servidor para desviar los datos del cliente. Además, el atacante entregó un malware basado en Golang llamado " linux_avp " que sirve como puerta trasera para ejecutar comandos enviados de forma remota desde un servidor de comando y control alojado en Beijing.


Tras la ejecución, el programa está diseñado para quitarse del disco y camuflarse como un proceso " ps -ef ", que es una utilidad para mostrar los procesos que se están ejecutando actualmente en Unix y sistemas operativos similares a Unix.

La firma holandesa de ciberseguridad dijo que también descubrió un skimmer web codificado en PHP que se disfrazó como una imagen de favicon ("favicon_absolute_top.jpg") y se agregó al código de la plataforma de comercio electrónico con el objetivo de inyectar formularios de pago fraudulentos y robar la información de la tarjeta de crédito ingresada. por los clientes en tiempo real, antes de transmitirlos a un servidor remoto.

Además, los investigadores de Sansec dijeron que el código PHP estaba alojado en un servidor ubicado en Hong Kong y que anteriormente se usó como un "punto final de exfiltración de skimming en julio y agosto de este año".

Fuente: You are not allowed to view links. Register or Login