'linux_avp' Malware

'linux_avp'-truslen er malware skrevet i Golang, et open source- og tværplatformsprog, der bliver et stadig mere populært valg blandt cyberkriminelle. I et forsøg på at tilføje øget opdagelse-undgåelse til deres truende kreationer, har hackere skiftet væk fra at bruge de mere almindelige programmeringssprog.

'linux_avp' Malware er klassificeret som en bagdørstrussel og er rettet mod sårbare Linux e-handelsservere. Det skal bemærkes, at 'linux_avp' Malware-bagdøren blev installeret på servere, der allerede var inficeret med en kreditkort-skimmer, der havde til opgave at indsamle kredit- og debetkortoplysninger for kunder, der forsøgte at foretage køb på de kompromitterede websteder.

Truslen blev opdaget og analyseret af det hollandske cybersikkerhedsfirma Sansec. Ifølge deres resultater skjuler 'linux_avp' sit ikon umiddelbart efter at være blevet udført og antager derefter identiteten af 'ps -ef'-processen. Processen bruges derefter til at få en liste over alle processer, der kører på maskinen. Bagefter vil truslen forblive stille og afvente ordre fra angriberne. Command-and-Control-serveren (C2, C&C) for operationerne ser ud til at være en Beijing-server, der er hostet på Alibabas netværk.

Bagdøren vil også etablere en persistensmekanisme via en ny crontab-indgang på systemet. Det tillader 'linux_avp' at gendownloade sin nyttelast fra C2 og geninstallere sig selv, hvis det bliver opdaget og fjernet, eller serveren genstartes.