'linux_avp' skadelig programvare

'linux_avp'-trusselen er skadelig programvare skrevet i Golang, et åpen kildekode- og tverrplattformspråk som blir et stadig mer populært valg blant nettkriminelle. I et forsøk på å legge til økt oppdagelsesunngåelse til sine truende kreasjoner, har hackere gått bort fra å bruke de mer vanlige programmeringsspråkene.

'linux_avp' Malware er klassifisert som en bakdørstrussel og retter seg mot sårbare Linux e-handelsservere. Det bør bemerkes at 'linux_avp' Malware-bakdøren ble distribuert på servere som allerede var infisert med en kredittkortskimmer som hadde til oppgave å samle inn kreditt- og debetkortinformasjonen til kunder som forsøkte å foreta kjøp på de kompromitterte nettstedene.

Trusselen ble oppdaget og analysert av det nederlandske cybersikkerhetsselskapet Sansec. I følge funnene deres skjuler 'linux_avp' ikonet sitt umiddelbart etter å ha blitt utført og antar deretter identiteten til 'ps -ef'-prosessen. Prosessen brukes deretter til å få en liste over alle prosesser som kjører på maskinen. Etterpå vil trusselen forbli stille i påvente av ordre fra angriperne. Kommando-og-kontroll-serveren (C2, C&C) for operasjonene ser ut til å være en Beijing-server som er vert på Alibabas nettverk.

Bakdøren vil også etablere en utholdenhetsmekanisme via en ny crontab-inngang på systemet. Den lar 'linux_avp' laste ned nyttelasten på nytt fra C2 og installere seg selv på nytt i tilfelle den blir oppdaget og fjernet eller serveren startes på nytt.