Những điểm yếu trong các cổng thương mại điện tử đang được khai thác để triển khai một cửa hậu Linux cũng như một trình duyệt thẻ tín dụng có khả năng đánh cắp thông tin thanh toán từ các trang web bị xâm nhập.
“Kẻ tấn công bắt đầu với các cuộc thăm dò tấn công thương mại điện tử tự động, kiểm tra hàng chục điểm yếu trong các nền tảng cửa hàng trực tuyến phổ biến”, các nhà nghiên cứu từ Sansec Threat Research cho biết trong một phân tích. “Sau một ngày rưỡi, kẻ tấn công đã tìm thấy lỗ hổng tải tệp lên trong một trong các plugin của cửa hàng.” Tên của nhà cung cấp bị ảnh hưởng không được tiết lộ.
Chỗ đứng ban đầu sau đó được tận dụng để tải lên một web shell độc hại và thay đổi mã máy chủ để bòn rút dữ liệu khách hàng. Ngoài ra, kẻ tấn công đã phân phối một phần mềm độc hại dựa trên Golang có tên “linux_avp” đóng vai trò như một cửa sau để thực thi các lệnh được gửi từ xa từ một máy chủ điều khiển và kiểm soát ở Bắc Kinh.
Khi thực thi, chương trình được thiết kế để tự loại bỏ khỏi đĩa và ngụy trang dưới dạng quy trình “ps -ef”, đây là một tiện ích để hiển thị các quy trình hiện đang chạy trong hệ điều hành Unix và Unix.
Công ty an ninh mạng Hà Lan cho biết họ cũng đã phát hiện ra một trình duyệt web mã PHP được ngụy trang dưới dạng hình ảnh biểu tượng yêu thích (“favicon_absolute_top.jpg”) và được thêm vào mã của nền tảng thương mại điện tử với mục tiêu đưa vào các hình thức thanh toán gian lận và lấy cắp thông tin thẻ tín dụng đã nhập bởi khách hàng trong thời gian thực, trước khi truyền chúng đến máy chủ từ xa.
Hơn nữa, các nhà nghiên cứu của Sansec cho biết mã PHP được lưu trữ trên một máy chủ đặt tại Hồng Kông và trước đây nó đã được sử dụng làm “điểm cuối tách lọc lướt qua vào tháng 7 và tháng 8 năm nay.”
.
