Уязвимости порталов электронной коммерции используются для установки бэкдора Linux, а также скиммера кредитных карт, способного похищать платежную информацию со взломанных сайтов.
«Злоумышленник начал с автоматизированных атак на онлайн-магазины, проверяя десятки уязвимостей в распространенных платформах» - сообщается в анализе исследователей из Sansec Threat Research. «Через полтора дня злоумышленник обнаружил уязвимость загрузки файлов в одном из плагинов магазина». Название пострадавшего торговца не было раскрыто.
Первоначальный плацдарм был использован для загрузки вредоносной веб-оболочки и изменения кода сервера для перехвата данных клиентов. Кроме того, злоумышленник распространил вредоносную программу на базе языка Golang под названием «linux_avp», которая служит бэкдором для выполнения команд, удаленно отправленных с командно-контрольного сервера, расположенного в Пекине.
После выполнения программа удаляется с диска и маскируется под процесс «ps -ef», который является утилитой для отображения запущенных процессов в Unix-подобных операционных системах.
Голландская компания по кибербезопасности заявила, что она также обнаружила веб-скиммер с PHP-кодом, который маскируется под favicon-изображение («favicon_absolute_top.jpg») и добавляется в код платформы онлайн-магазина с целью внедрения мошеннических платежных форм и кражи информации о кредитных картах, вводимой клиентами, в режиме реального времени перед передачей их на удаленный сервер.
Кроме того, исследователи Sansec сообщили, что PHP-код был размещен на сервере, расположенном в Гонконге, и что ранее он использовался в качестве «конечной точки извлечения результатов скимминга в июле и августе этого года».
Источник: https://is-systems.org