TechforID – Perusahaan keamanan siber Belanda, Sansec menemukan perangkat lunak jahat (malware) Linux menyerang toko online sejak awal November 2021.
Tim Sansec Threat Research mengamati server kontrol malware berada di Beijing dan dihosting jaringan Alibaba, perusahaan teknologi dan e-commerce terbesar China.
“Sebuah gerai online baru-baru ini mengontak kami setelah mereka menyewa dua perusahaan forensik, tapi ternyata malware masih berada di toko onlinenya,” tulis Sansec, Kamis, 18 November 2021.
Menurut Sansec, serangan itu diawali dengan pemindaian otomatis yang dilakukan terhadap toko online. Setelah menemukan kelemahan, peretas kemudian mengunggah file di salah satu plug in situs web toko tersebut.
“Mereka kemudian mengunggah webshell dan memodifikasi kode server untuk mencegat data pelanggan,” tulis Sansec.
Baca juga: Kapersky Deteksi Netflix Diincar Pelaku Kejahatan Siber
Untuk informasi, Webshell merupakan kode perintah untuk akses backdoor (pintu belakang), sehingga peretas bisa mengakses tanpa autentikasi dan tidak diketahui oleh pemilik sistem.
Selain membuat backdoor, peretas juga mencuri dan mengekstrak informasi pembayaran dan pribadi pelanggan di toko online yang disusupi tersebut.
Modus ini dilakukan dengan teknik skimmer, mereka menyuntikkan skrip perintah yang disamarkan sebagai file gambar .jpg dan disimpan di folder /app/design/frontend/.
Menurut Sansec, peretas mengunggah file eksekusi (executable) berbasis Linux bernama “linux_avp”.
Program ini dibangun dalam bahasa Golang yang didesain menghapus dirinya sendiri dari hard disk dan menyamar sebagai proses ps-ef (suatu perintah dalam Linux) palsu.
Analisis terhadap “linux_avp” menunjukkan file tersebut ternyata berfungsi sebagai backdoor, menunggu perintah dari server yang dihosting beralamat IP 47.113.202.35 di Beijing.
“Orang yang mengunggah malware bisa jadi adalah pembuat malware, yang ingin menegaskan bahwa mesin anti-virus umum tidak akan mendeteksi kreasi mereka,” ujar Tim Sansec.
Baca artikel selanjutnya:
