'linux_avp' Malware

De 'linux_avp'-dreiging is malware die is geschreven in Golang, een open-source en platformonafhankelijke taal die steeds populairder wordt onder cybercriminelen. In een poging om meer detectie-vermijding toe te voegen aan hun bedreigende creaties, zijn hackers afgestapt van het gebruik van de meer gebruikelijke programmeertalen.

'linux_avp' Malware is geclassificeerd als een achterdeurbedreiging en richt zich op kwetsbare Linux e-commerceservers. Opgemerkt moet worden dat de 'linux_avp' Malware-achterdeur werd ingezet op servers die al waren geïnfecteerd met een creditcardskimmer die belast was met het verzamelen van de creditcard- en debetkaartinformatie van klanten die probeerden aankopen te doen op de gecompromitteerde websites.

De dreiging is ontdekt en geanalyseerd door het Nederlandse cyberbeveiligingsbedrijf Sansec. Volgens hun bevindingen verbergt 'linux_avp' zijn pictogram onmiddellijk nadat het is uitgevoerd en neemt dan de identiteit aan van het 'ps -ef'-proces. Het proces wordt vervolgens gebruikt om een lijst te krijgen van alle processen die op de machine worden uitgevoerd. Daarna blijft de dreiging stil in afwachting van het bevel van de aanvallers. De Command-and-Control (C2, C&C)-server van de operaties lijkt een Beijing-server te zijn die wordt gehost op het netwerk van Alibaba.

De achterdeur zal ook een persistentiemechanisme opzetten via een nieuwe crontab-invoer op het systeem. Hiermee kan 'linux_avp' zijn payload opnieuw downloaden van de C2 en zichzelf opnieuw installeren in het geval dat het wordt gedetecteerd en verwijderd of de server opnieuw wordt opgestart.