Sansec, perusahaan keamanan siber Belanda, menemukan perangkat lunak jahat (malware) Linux yang sejak awal November lalu menyerang toko online.
Tim Sansec Threat Research mengamati bahwa server kontrol malware berlokasi di Beijing China dan di-hosting di jaringan Alibaba, perusahaan teknologi dan e-commerce terbesar China.
“Sebuah gerai online baru-baru ini mengontak kami setelah mereka menyewa dua perusahaan forensik, tapi ternyata malware masih berada di toko onlinenya,” tulis tim tersebut di blog perusahaan pada 18 November 2021.
Menurut peneliti, serangan itu dimulai pemindaian otomatis yang dilakukan penyerang terhadap toko online yang memiliki kelemahan. Setelah menemukan kerentanan, penyerang mengunggah file di salah satu plug in situs web toko tersebut.
“Mereka kemudian mengunggah webshell dan memodifikasi kode server untuk mencegat data pelanggan,” tulis peneliti. Webshell adalah kode perintah untuk akses backdoor (pintu belakang) sehingga peretas bisa mengakses tanpa autentikasi dan tidak diketahui oleh pemilik sistem.
Baca Juga :
Selain membuat backdoor, peretas juga mencuri dan mengekstrak informasi pembayaran dan pribadi pelanggan di toko online yang disusupi tersebut. Modus ini dilakukan dengan teknik skimmer; mereka menyuntikkan skrip perintah yang disamarkan sebagai file gambar .jpg dan disimpan di folder /app/design/frontend/.
Menurut peneliti, peretas mengunggah file eksekusi (executable) berbasis Linux bernama “linux_avp”. Program ini dibangun dalam bahasa Golang yang didesain menghapus dirinya sendiri dari hard disk dan menyamar sebagai proses ps-ef (suatu perintah dalam Linux) palsu.
Analisis terhadap “linux_avp” menunjukkan bahwa file tersebut ternyata berfungsi sebagai backdoor, menunggu perintah dari server yang dihosting beralamat IP 47.113.202.35 di Beijing.
Pada saat tim peneliti menulis temuan itu, belum perusahaan anti-virus yang mengenali malwar. Anehnya, ada seorang telah mengirimkan malware yang sama ke situs web VirusTotal pada 8 Oktober dengan komentar “test”.
“Ini hanya satu hari setelah berhasil menembus toko pelanggan kami. Orang yang mengunggah malware bisa jadi adalah pembuat malware, yang ingin menegaskan bahwa mesin anti-virus umum tidak akan mendeteksi kreasi mereka,” ujar peneliti.
Sansec telah memperbarui kemampuan deteksi untuk monitor keamanan eComscan miliknya dan malware ditemukan di beberapa server berbasis di Amerika Serikat dan Uni Eropa.
