'linux_avp' Malware

Zagrożenie „linux_avp” to złośliwe oprogramowanie napisane w Golang, języku o otwartym kodzie źródłowym i wieloplatformowym, który staje się coraz bardziej popularnym wyborem wśród cyberprzestępców. Próbując dodać zwiększone unikanie wykrywania do swoich zagrażających tworów, hakerzy odchodzą od używania bardziej popularnych języków programowania.

Złośliwe oprogramowanie „linux_avp” jest klasyfikowane jako zagrożenie typu backdoor i atakuje podatne na ataki serwery e-commerce z systemem Linux. Należy zauważyć, że backdoor złośliwego oprogramowania „linux_avp” został wdrożony na serwerach już zainfekowanych przez skimmer karty kredytowej, którego zadaniem było zbieranie informacji o kartach kredytowych i debetowych klientów próbujących dokonać zakupów na zaatakowanych stronach internetowych.

Zagrożenie zostało wykryte i przeanalizowane przez holenderską firmę zajmującą się cyberbezpieczeństwem Sansec. Zgodnie z ich ustaleniami, 'linux_avp' ukrywa swoją ikonę natychmiast po wykonaniu, a następnie przyjmuje tożsamość procesu 'ps -ef'. Proces jest następnie używany do uzyskania listy wszystkich procesów uruchomionych na komputerze. Następnie zagrożenie będzie milczeć, czekając na rozkaz napastników. Serwer dowodzenia i kontroli (C2, C&C) operacji wydaje się być serwerem w Pekinie, który jest hostowany w sieci Alibaba.

Backdoor ustanowi również mechanizm trwałości za pośrednictwem nowego wpisu crontab w systemie. Pozwala 'linux_avp' na ponowne pobranie swojego ładunku z C2 i ponowną instalację w przypadku wykrycia i usunięcia lub ponownego uruchomienia serwera.