'linux_avp'-Malware

'linux_avp'-Malware-Beschreibung

Die Bedrohung „linux_avp“ ist Malware, die in Golang geschrieben wurde, einer Open-Source- und plattformübergreifenden Sprache, die bei Cyberkriminellen immer beliebter wird. In dem Versuch, ihren bedrohlichen Kreationen eine erhöhte Erkennungsvermeidung hinzuzufügen, haben sich Hacker von der Verwendung der gebräuchlicheren Programmiersprachen abgewendet.

'linux_avp' Malware wird als Backdoor-Bedrohung eingestuft und zielt auf anfällige Linux-E-Commerce-Server ab. Es sei darauf hingewiesen, dass die Malware-Hintertür 'linux_avp' auf Servern installiert wurde, die bereits mit einem Kreditkarten-Skimmer infiziert waren, der die Kredit- und Debitkarteninformationen von Kunden sammelt, die versuchen, auf den kompromittierten Websites einzukaufen.

Die Bedrohung wurde vom niederländischen Cybersicherheitsunternehmen Sansec entdeckt und analysiert. Ihren Erkenntnissen zufolge versteckt 'linux_avp' sein Icon sofort nach der Ausführung und nimmt dann die Identität des 'ps -ef'-Prozesses an. Der Prozess wird dann verwendet, um eine Liste aller Prozesse zu erhalten, die auf dem Computer ausgeführt werden. Danach bleibt die Bedrohung ruhig und wartet auf Befehle der Angreifer. Der Command-and-Control (C2, C&C)-Server der Operationen scheint ein Pekinger Server zu sein, der im Alibaba-Netzwerk gehostet wird.

Die Hintertür wird auch einen Persistenzmechanismus über einen neuen crontab-Eintrag auf dem System einrichten. Es ermöglicht 'linux_avp', seine Nutzlast erneut vom C2 herunterzuladen und sich selbst neu zu installieren, falls es erkannt und entfernt oder der Server neu gestartet wird.