'linux_avp' Malware

La minaccia "linux_avp" è un malware scritto in Golang, un linguaggio open source e multipiattaforma che sta diventando una scelta sempre più popolare tra i criminali informatici. Nel tentativo di aggiungere una maggiore prevenzione del rilevamento alle loro creazioni minacciose, gli hacker si sono allontanati dall'uso dei linguaggi di programmazione più comuni.

'linux_avp' Il malware è classificato come una minaccia backdoor e prende di mira i server di e-commerce Linux vulnerabili. Va notato che la backdoor del malware "linux_avp" è stata implementata su server già infettati da uno skimmer di carte di credito incaricato di raccogliere le informazioni sulle carte di credito e di debito dei clienti che tentano di effettuare acquisti sui siti Web compromessi.

La minaccia è stata scoperta e analizzata dalla società di sicurezza informatica olandese Sansec. Secondo le loro scoperte, 'linux_avp' nasconde la sua icona subito dopo essere stato eseguito e quindi assume l'identità del processo 'ps -ef'. Il processo viene quindi utilizzato per ottenere un elenco di tutti i processi in esecuzione sulla macchina. In seguito, la minaccia rimarrà silenziosa in attesa di ordine dagli aggressori. Il server Command-and-Control (C2, C&C) delle operazioni sembra essere un server di Pechino ospitato sulla rete di Alibaba.

La backdoor stabilirà anche un meccanismo di persistenza tramite una nuova voce crontab sul sistema. Consente a 'linux_avp' di riscaricare il suo payload dal C2 e di reinstallarsi nel caso venga rilevato e rimosso o il server venga riavviato.