Atacantes chinos vulneran sitios de e-commerce operados con Linux

Empresa de seguridad ha descubierto un nuevo vector malicioso, “linux_avp”, que se camufla como proceso del sistema en los servidores de comercio electr贸nico.

Tambi茅n conocido como skimming digital, este delito se ha disparado desde 2015. Los delincuentes roban los datos de las tarjetas durante las compras online. Se est谩 desplegando en todo el mundo desde la semana pasada y recibe 贸rdenes de un servidor de control en Pek铆n.

La empresa de seguridad inform谩tica Sansec dice haber sido contactada por un comercio online que sigui贸 teniendo malware en su tienda incluso despu茅s de haber contratado a dos empresas forenses (no identificadas). El equipo de Sansec se puso en marcha y descubri贸 r谩pidamente un intrincado ataque.

Sansec descubri贸 que el atacante comenz贸 con sondas automatizadas de ataque al sitio de comercio electr贸nico, probando docenas de debilidades en plataformas comunes de tiendas en l铆nea. Despu茅s de un d铆a y medio, el atacante encontr贸 una vulnerabilidad de carga de archivos en uno de los plugins de la tienda. A continuaci贸n, el atacante subi贸 una webshell y modific贸 el c贸digo del servidor para interceptar los datos de los clientes.

Curiosamente, el atacante tambi茅n subi贸 un ejecutable de Linux llamado linux_avp. Este programa Golang se inicia, se elimina del disco y se disfraza como un proceso ps -ef falso.

El an谩lisis de linux_avp sugiere que sirve como backdoor, esperando comandos desde un servidor alojado en Beijing (Alibaba) 47.113.202.35.

Sansec escribe que los atacantes incluso introdujeron una l铆nea de c贸digo con un error ortogr谩fico en una l铆nea, donde escribieron “PostDecript” en lugar de “PostDecrypt”. A pesar del error, el ataque sigui贸 funcionando.

El backdoor tambi茅n revel贸 d贸nde fue incorporado: por el usuario dob en una carpeta de proyecto lin_avp, usando el nombre de c贸digo GREECE. Esto descarga efectivamente el ejecutable del malware Golang en un directorio aleatorio en el que se puede escribir, e instala dos archivos de configuraci贸n. Uno de ellos contiene una clave p煤blica, que presumiblemente se utiliza para garantizar que nadie m谩s que el propietario del malware pueda lanzar los comandos.

Este caso tiene otra conexi贸n china. Se a帽adi贸 un archivo al c贸digo de la plataforma de comercio electr贸nico llamado app/design/frontend/favicon_absolute_top.jpg, que contiene c贸digo PHP para recuperar un formulario de pago falso e inyectarlo en la tienda:

La IP 103.233.11.28 incluida en el c贸digo est谩 alojada en Hong Kong.

La compa帽铆a escribe que ning煤n otro proveedor de antivirus reconoce este malware. Curiosamente, un individuo hab铆a enviado el mismo malware a Virustotal el 8 de octubre con el comentario “test”. Esto fue justo un d铆a despu茅s de la exitosa violaci贸n de la tienda del usuario que contact贸 a Sansec. “La persona que subi贸 el malware podr铆a muy bien ser el autor del mismo, que quer铆a afirmar que los motores antivirus comunes no detectar铆an su creaci贸n”, escribe la empresa.

Sansec ha actualizado las capacidades de detecci贸n de nuestro monitor de seguridad eComscan, y el malware fue descubierto en varios servidores basados en Estados Unidos y la UE.

M谩s informaci贸n en el sitio de la compa帽铆a.



Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.