„linux_avp“ злонамерен софтуер

Заплахата „linux_avp“ е зловреден софтуер, написан на Golang, език с отворен код и кросплатформен език, който става все по-популярен избор сред киберпрестъпниците. В опит да добавят повишено избягване на откриване към своите заплашителни творения, хакерите се отклоняват от използването на по-често срещаните езици за програмиране.

Зловредният софтуер „linux_avp“ е класифициран като заплаха за задната врата и е насочен към уязвими сървъри за електронна търговия на Linux. Трябва да се отбележи, че бекдорът на злонамерен софтуер 'linux_avp' е разгърнат на сървъри, които вече са заразени със скимер за кредитни карти, натоварен със задачата да събира информацията за кредитни и дебитни карти на клиенти, които се опитват да направят покупки на компрометираните уебсайтове.

Заплахата е открита и анализирана от холандската компания за киберсигурност Sansec. Според техните констатации, 'linux_avp' скрива иконата си веднага след изпълнение и след това поема идентичността на процеса 'ps -ef'. След това процесът се използва за получаване на списък с всички процеси, изпълнявани на машината. След това заплахата ще остане тиха в очакване на заповед от нападателите. Сървърът за командване и управление (C2, C&C) на операциите изглежда е сървър в Пекин, който се хоства в мрежата на Alibaba.

Задната врата също ще установи механизъм за постоянство чрез нов запис в crontab в системата. Той позволява на 'linux_avp' да изтегли отново своя полезен товар от C2 и да се инсталира отново в случай, че бъде открит и премахнат или сървърът бъде рестартиран.