'linux_avp' Malware

Hotet 'linux_avp' är skadlig programvara skriven i Golang, ett språk med öppen källkod och plattformsoberoende som blir ett alltmer populärt val bland cyberkriminella. I ett försök att lägga till ökad upptäckts-undvikande till sina hotfulla skapelser, har hackare gått bort från att använda de vanligare programmeringsspråken.

'linux_avp' Malware klassificeras som ett bakdörrshot och den riktar sig mot sårbara Linux e-handelsservrar. Det bör noteras att "linux_avp" Malware-bakdörren distribuerades på servrar som redan var infekterade med en kreditkortsskimmer med uppgift att samla in kredit- och betalkortsinformation för kunder som försökte göra inköp på de utsatta webbplatserna.

Hotet upptäcktes och analyserades av det holländska cybersäkerhetsföretaget Sansec. Enligt deras upptäckter döljer 'linux_avp' sin ikon omedelbart efter att ha körts och antar sedan identiteten för 'ps -ef'-processen. Processen används sedan för att få en lista över alla processer som körs på maskinen. Efteråt kommer hotet att förbli tyst i väntan på order från angriparna. Kommando-och-kontroll-servern (C2, C&C) för operationerna verkar vara en Peking-server som finns på Alibabas nätverk.

Bakdörren kommer också att etablera en beständighetsmekanism via en ny crontab-ingång på systemet. Den tillåter 'linux_avp' att ladda ner sin nyttolast från C2 och installera om sig själv ifall den upptäcks och tas bort eller servern startas om.