'linux_avp' Malware

A ameaça 'linux_avp' é um malware escrito em Golang, uma linguagem de código aberto e plataforma cruzada que está se tornando uma escolha cada vez mais popular entre os cibercriminosos. Em uma tentativa de adicionar maior prevenção de detecção a suas criações ameaçadoras, os hackers estão deixando de usar as linguagens de programação mais comuns.

O malware 'linux_avp' é classificado como uma ameaça de backdoor e tem como alvo os servidores de comércio eletrônico Linux vulneráveis. Deve-se notar que o backdoor do Malware 'linux_avp' foi implantado nos servidores já infetados com um skimmer de cartão de crédito encarregado de coletar as informações de cartão de crédito e débito de clientes que tentavam fazer compras nos sites comprometidos.

A ameaça foi descoberta e analisada pela empresa holandesa de segurança cibernética Sansec. De acordo com suas descobertas, 'linux_avp' esconde seu ícone imediatamente após ser executado e então assume a identidade do processo 'ps -ef'. O processo é então usado para obter uma lista de todos os processos em execução na máquina. Depois disso, a ameaça ficará quieta, aguardando a ordem dos atacantes. O servidor de comando e controle (C2, C&C) das operações parece ser um servidor de Pequim que está hospedado na rede do Alibaba.

O backdoor também estabelecerá um mecanismo de persistência por meio de uma nova entrada crontab no sistema. Ele permite que 'linux_avp' baixe novamente sua carga do C2 e se reinstale caso seja detectado e removido ou o servidor seja reiniciado.