Malware 'linux_avp'

Hrozba 'linux_avp' je malware napsaný v Golang, open-source a multiplatformním jazyce, který se mezi kyberzločinci stává stále oblíbenější volbou. Ve snaze přidat ke svým hrozivým výtvorům zvýšenou ochranu před detekcí se hackeři odklonili od používání běžnějších programovacích jazyků.

'linux_avp' Malware je klasifikován jako backdoor hrozba a zaměřuje se na zranitelné linuxové e-commerce servery. Je třeba poznamenat, že backdoor malwaru 'linux_avp' byl nasazen na servery již infikované skimmerem kreditních karet, jehož úkolem bylo shromažďovat informace o kreditních a debetních kartách zákazníků, kteří se pokoušeli nakupovat na napadených webových stránkách.

Hrozbu objevila a analyzovala nizozemská společnost Sansec zabývající se kybernetickou bezpečností. Podle jejich zjištění skryje 'linux_avp' svou ikonu ihned po spuštění a poté převezme identitu procesu 'ps -ef'. Proces se pak použije k získání seznamu všech procesů běžících na stroji. Poté hrozba zůstane v klidu a čeká na rozkaz od útočníků. Zdá se, že server Command-and-Control (C2, C&C) operací je pekingský server, který je hostován v síti Alibaba.

Zadní vrátka také vytvoří mechanismus persistence prostřednictvím nové položky crontab v systému. Umožňuje 'linux_avp' znovu stáhnout svůj obsah z C2 a znovu se nainstalovat v případě, že bude detekován a odstraněn nebo je server restartován.