Atacantes chinos vulneran sitios de e-commerce operados con Linux

Empresa de seguridad ha descubierto un nuevo vector malicioso, “linux_avp”, que se camufla como proceso del sistema en los servidores de comercio electrónico.

También conocido como skimming digital, este delito se ha disparado desde 2015. Los delincuentes roban los datos de las tarjetas durante las compras online. Se está desplegando en todo el mundo desde la semana pasada y recibe órdenes de un servidor de control en Pekín.

La empresa de seguridad informática Sansec dice haber sido contactada por un comercio online que siguió teniendo malware en su tienda incluso después de haber contratado a dos empresas forenses (no identificadas). El equipo de Sansec se puso en marcha y descubrió rápidamente un intrincado ataque.

Sansec descubrió que el atacante comenzó con sondas automatizadas de ataque al sitio de comercio electrónico, probando docenas de debilidades en plataformas comunes de tiendas en línea. Después de un día y medio, el atacante encontró una vulnerabilidad de carga de archivos en uno de los plugins de la tienda. A continuación, el atacante subió una webshell y modificó el código del servidor para interceptar los datos de los clientes.

Curiosamente, el atacante también subió un ejecutable de Linux llamado linux_avp. Este programa Golang se inicia, se elimina del disco y se disfraza como un proceso ps -ef falso.

El análisis de linux_avp sugiere que sirve como backdoor, esperando comandos desde un servidor alojado en Beijing (Alibaba) 47.113.202.35.

Sansec escribe que los atacantes incluso introdujeron una línea de código con un error ortográfico en una línea, donde escribieron “PostDecript” en lugar de “PostDecrypt”. A pesar del error, el ataque siguió funcionando.

El backdoor también reveló dónde fue incorporado: por el usuario dob en una carpeta de proyecto lin_avp, usando el nombre de código GREECE. Esto descarga efectivamente el ejecutable del malware Golang en un directorio aleatorio en el que se puede escribir, e instala dos archivos de configuración. Uno de ellos contiene una clave pública, que presumiblemente se utiliza para garantizar que nadie más que el propietario del malware pueda lanzar los comandos.

Este caso tiene otra conexión china. Se añadió un archivo al código de la plataforma de comercio electrónico llamado app/design/frontend/favicon_absolute_top.jpg, que contiene código PHP para recuperar un formulario de pago falso e inyectarlo en la tienda:

La IP 103.233.11.28 incluida en el código está alojada en Hong Kong.

La compañía escribe que ningún otro proveedor de antivirus reconoce este malware. Curiosamente, un individuo había enviado el mismo malware a Virustotal el 8 de octubre con el comentario “test”. Esto fue justo un día después de la exitosa violación de la tienda del usuario que contactó a Sansec. “La persona que subió el malware podría muy bien ser el autor del mismo, que quería afirmar que los motores antivirus comunes no detectarían su creación”, escribe la empresa.

Sansec ha actualizado las capacidades de detección de nuestro monitor de seguridad eComscan, y el malware fue descubierto en varios servidores basados en Estados Unidos y la UE.

Más información en el sitio de la compañía.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022