نقصهای امنیتی پورتالهای e-commerce برای استقرار یک Backdoor لینوکس و همچنین یک اسکیمر کارت اعتباری که قادر به سرقت اطلاعات پرداخت از وبسایتهای آسیبپذیر است، مورد سوءاستفاده قرار میگیرد.
محققان Sansec Threat Research در تحلیلی گفتند که مهاجم در ابتدا حملات خود را با ابزارهای خودکار شروع کرد و دهها ضعف را در پلتفرمهای فروشگاه آنلاین رایج آزمایش کرد. پس از یک روز و نیم، مهاجم یک آسیبپذیری آپلود فایل را در یکی از پلاگینهای آنها پیدا کرد.
درحال حاضر نام این محصول آسیبپذیر فاش نشده است.
سپس یک Shell جهت تغییر کد سرور برای استخراج اطلاعات مشتریان مورد استفاده قرار گرفت. علاوه بر این، مهاجم یک بدافزار مبتنی بر Golang به نام "linux_avp" را نیز بارگذاری کرده است که به عنوان یک Backdoor برای اجرای دستورات ارسال شده از راه دور از یک سرور Command and Control میزبانی شده در پکن عمل میکند.
برنامه به گونهای طراحی شده است که پس از اجرا خود را از دیسک حذف کند و به عنوان یک فرآیند "ps -ef"، که ابزاری برای نمایش فرآیندهای در حال اجرا در سیستمعاملهای یونیکس است، استتار کند.
این شرکت امنیت سایبری هلندی همچنین اعلام کرد که یک اسکیمر PHP را کشف کرده است که به عنوان یک تصویر facicon ("favicon_absolute_top.jpg") پنهان شده و با هدف تزریق فرمهای پرداخت جعلی و سرقت اطلاعات کارت اعتباری به کد پلتفرمهای e-commerce اضافه شده است.
علاوه بر این محققان Sansec گفتند که کد PHP بر روی سروری واقع در هنگ کنگ میزبانی شده است.
محققان Sansec Threat Research در تحلیلی گفتند که مهاجم در ابتدا حملات خود را با ابزارهای خودکار شروع کرد و دهها ضعف را در پلتفرمهای فروشگاه آنلاین رایج آزمایش کرد. پس از یک روز و نیم، مهاجم یک آسیبپذیری آپلود فایل را در یکی از پلاگینهای آنها پیدا کرد.
درحال حاضر نام این محصول آسیبپذیر فاش نشده است.
سپس یک Shell جهت تغییر کد سرور برای استخراج اطلاعات مشتریان مورد استفاده قرار گرفت. علاوه بر این، مهاجم یک بدافزار مبتنی بر Golang به نام "linux_avp" را نیز بارگذاری کرده است که به عنوان یک Backdoor برای اجرای دستورات ارسال شده از راه دور از یک سرور Command and Control میزبانی شده در پکن عمل میکند.
برنامه به گونهای طراحی شده است که پس از اجرا خود را از دیسک حذف کند و به عنوان یک فرآیند "ps -ef"، که ابزاری برای نمایش فرآیندهای در حال اجرا در سیستمعاملهای یونیکس است، استتار کند.
این شرکت امنیت سایبری هلندی همچنین اعلام کرد که یک اسکیمر PHP را کشف کرده است که به عنوان یک تصویر facicon ("favicon_absolute_top.jpg") پنهان شده و با هدف تزریق فرمهای پرداخت جعلی و سرقت اطلاعات کارت اعتباری به کد پلتفرمهای e-commerce اضافه شده است.
علاوه بر این محققان Sansec گفتند که کد PHP بر روی سروری واقع در هنگ کنگ میزبانی شده است.