นักวิจัยด้านความปลอดภัยพบว่ามีผู้โจมตีได้ติดตั้ง Linux backdoor บนระบบ E-commerce Servers หลังจากที่ทำการโจมตีร้านค้าออนไลน์ และแอบฝัง Credit card Skimmer ลงไปบนเว็บไซต์ โดยตัว PHP-code web Skimmer จะเป็น Script ที่ออกแบบมาเพื่อขโมยข้อมูลการชำระเงิน และข้อมูลส่วนบุคคลของลูกค้า โดยปลอมแปลงเป็นไฟล์รูปภาพ .JPG และนำไปเพิ่มไว้ในโฟลเดอร์ /app/design/frontend/ ของเว็บไซต์
ผู้โจมตีใช้ Script ตัวนี้ในการดาวน์โหลด และฝังหน้าแบบฟอร์มชำระเงินปลอมบนหน้าเพจ checkout สำหรับผู้ใช้งาน
ซึ่งทางทีมนักวิจัยภัยคุกคามของ Sansec พบว่าการโจมตีนี้เริ่มจากการสแกนหาช่องโหว่ eCommerce เพื่อหาช่องโหว่ในแพลตฟอร์มร้านค้าออนไลน์ และเมื่อผู้โจมตีได้พบช่องโหว่ในการอัปโหลดไฟล์ในปลั๊กอินของร้านค้า ก็จะทำการอัปโหลด Webshell และแก้ไข Server code เพื่อดักจับข้อมูลของลูกค้า
นอกจากนี้ในเซิร์ฟเวอร์ตัวเดียวกันนี้ยังพบ Malware ที่พัฒนามาจาก Golang ได้ถูกดาวน์โหลด และดำเนินการติดตั้งบนเซิร์ฟเวอร์ที่ถูกบุกรุก และจากการตรวจสอบพบว่าเป็นไฟล์ linux_avp executable
และเมื่อมัลแวร์ถูกรัน มันจะทำการลบตัวเองออกจากดิสก์ทันที และปลอมตัวเป็น “ps-ef” process ที่เป็น Command ที่ใช้สำหรับตรวจสอบ Process ที่กำลังทำงานอยู่ ซึ่งขณะที่ทางนักวิจัยกำลังทำการวิเคราะห์ linux_avp backdoor อยู่นั้น ทางนักวิจัยได้พบว่าตัวมัลแวร์กำลังรอรับคำสั่งจากเซิร์ฟเวอร์ที่ปักกิ่ง ซึ่งอยู่บนโฮสต์ที่เป็นเครือข่ายของ Alibaba นอกจากนี้พวกเขายังพบว่ามัลแวร์จะพยายามทำให้ตัวมันสามารถฝังตัวอยู่บนระบบได้โดยการเพิ่ม crontab ที่จะดาวน์โหลดเพย์โหลดที่เป็นอันตรายจาก Command and control server และทำการติดตั้ง backdoor อีกครั้ง หากถูกตรวจพบ และลบออก หรือพบว่า Server มีการ restarts
ปัจจุบัน anti-malware engines ของ Virustotal ยังไม่รู้จัก backdoor ตัวนี้ ถึงแม้ว่าจะมีตัวอย่างถูกอัปโหลดขึ้นไปตั้งแต่วันที่ 8 ตุลาคมที่ผ่านมา ซึ่งผู้อัปโหลดอาจเป็นผู้สร้าง linux_avp นี้ เนื่องจากพบว่าไฟล์ดังกล่าวถูกอัปโหลดระหว่างที่ทาง Sansec กำลังตรวจสอบการบุกรุกเว็บไซต์ eCommerce
ที่มา: bleepingcomputer