'linux_avp' Malware

La amenaza 'linux_avp' es un malware escrito en Golang, un lenguaje de código abierto y multiplataforma que se está convirtiendo en una opción cada vez más popular entre los ciberdelincuentes. En un intento por agregar una mayor evitación de detección a sus creaciones amenazantes, los piratas informáticos han dejado de usar los lenguajes de programación más comunes.

El malware 'linux_avp' se clasifica como una amenaza de puerta trasera y se dirige a servidores de comercio electrónico Linux vulnerables. Cabe señalar que la puerta trasera de malware 'linux_avp' se implementó en servidores ya infectados con un skimmer de tarjetas de crédito encargado de recopilar la información de las tarjetas de crédito y débito de los clientes que intentan realizar compras en los sitios web comprometidos.

La amenaza fue descubierta y analizada por la empresa holandesa de ciberseguridad Sansec. Según sus hallazgos, 'linux_avp' oculta su icono inmediatamente después de ser ejecutado y luego asume la identidad del proceso 'ps -ef'. Luego, el proceso se utiliza para obtener una lista de todos los procesos que se ejecutan en la máquina. Posteriormente, la amenaza permanecerá en silencio esperando la orden de los atacantes. El servidor de Comando y Control (C2, C&C) de las operaciones parece ser un servidor de Beijing que está alojado en la red de Alibaba.

La puerta trasera también establecerá un mecanismo de persistencia a través de una nueva entrada crontab en el sistema. Permite que 'linux_avp' vuelva a descargar su carga útil del C2 y se reinstale en caso de que se detecte y elimine o se reinicie el servidor.