Fraquezas nos portais de comércio eletrônico estão sendo exploradas para implantar um malware backdoor do Linux, bem como um skimmer de cartão de crédito que é capaz de roubar informações de pagamento de sites comprometidos.
“O invasor começou com sondagens de ataque automatizadas de e-commerce, testando dezenas de pontos fracos em plataformas de lojas online comuns”, disseram pesquisadores da Sansec Threat Research em uma análise. “Depois de um dia e meio, o invasor descobriu uma vulnerabilidade de upload de arquivo em um dos plug-ins da loja.” O nome do fornecedor afetado não foi revelado.
A base inicial foi então aproveitada para fazer upload de um shell da web malicioso e alterar o código do servidor para desviar os dados do cliente. Além disso, o invasor entregou um malware baseado em Golang chamado “linux_avp”, que serve como backdoor para executar comandos enviados remotamente de um servidor de comando e controle hospedado em Pequim.
Após a execução, o programa é projetado para se remover do disco e se camuflar como um processo “ps -ef”, que é um utilitário para exibir processos em execução no Unix e em sistemas operacionais semelhantes ao Unix.
A empresa de segurança cibernética holandesa disse que também descobriu um skimmer da web codificado em PHP que está disfarçado como uma imagem favicon (“favicon_absolute_top.jpg”) e adicionado ao código da plataforma de comércio eletrônico com o objetivo de injetar formulários de pagamento fraudulentos e roubar informações de cartão de crédito inseridas pelos clientes em tempo real, antes de transmiti-los a um servidor remoto.
Além disso, os pesquisadores da Sansec disseram que o código PHP foi hospedado em um servidor localizado em Hong Kong e que foi usado anteriormente como um “endpoint de exfiltração de skimming em julho e agosto deste ano.”
