'linux_avp' Malware

Description de 'linux_avp' Malware

La menace « linux_avp » est un logiciel malveillant écrit en Golang, un langage open source et multiplateforme qui devient un choix de plus en plus populaire parmi les cybercriminels. Dans une tentative d'ajouter une détection-évitement accrue à leurs créations menaçantes, les pirates informatiques ont abandonné l'utilisation des langages de programmation les plus courants.

Le logiciel malveillant « linux_avp » est classé comme une menace de porte dérobée et cible les serveurs de commerce électronique Linux vulnérables. Il convient de noter que la porte dérobée du logiciel malveillant 'linux_avp' a été déployée sur des serveurs déjà infectés par un écumeur de carte de crédit chargé de collecter les informations de carte de crédit et de débit des clients essayant d'effectuer des achats sur les sites Web compromis.

La menace a été découverte et analysée par la société néerlandaise de cybersécurité Sansec. Selon leurs découvertes, « linux_avp » cache son icône immédiatement après son exécution, puis assume l'identité du processus « ps -ef ». Le processus est ensuite utilisé pour obtenir une liste de tous les processus en cours d'exécution sur la machine. Par la suite, la menace restera silencieuse en attendant l'ordre des attaquants. Le serveur Command-and-Control (C2, C&C) des opérations semble être un serveur de Pékin hébergé sur le réseau d'Alibaba.

La porte dérobée établira également un mécanisme de persistance via une nouvelle entrée crontab sur le système. Il permet à « linux_avp » de retélécharger sa charge utile à partir du C2 et de se réinstaller au cas où il serait détecté et supprimé ou que le serveur serait redémarré.