IND | ENG
Peneliti Belanda Temukan Malware Linux Curi Informasi Pribadi Pelanggan Toko Online

Ilustrasi | Foto: freepik.com

Peneliti Belanda Temukan Malware Linux Curi Informasi Pribadi Pelanggan Toko Online
Bagas Tri Atmaja Diposting : Minggu, 21 November 2021 - 14:16 WIB

Cyberthreat.id – Sansec, perusahaan keamanan siber Belanda, menemukan perangkat lunak jahat (malware) Linux yang sejak awal November lalu menyerang toko online.

Tim Sansec Threat Research mengamati bahwa server kontrol malware berlokasi di Beijing China dan di-hosting di jaringan Alibaba, perusahaan teknologi dan e-commerce terbesar China.

“Sebuah gerai online baru-baru ini mengontak kami setelah mereka menyewa dua perusahaan forensik, tapi ternyata malware masih berada di toko onlinenya,” tulis tim tersebut di blog perusahaan pada 18 November 2021, diakses Minggu (21 November).  

Menurut peneliti, serangan itu dimulai pemindaian otomatis yang dilakukan penyerang terhadap toko online yang memiliki kelemahan. Setelah menemukan kerentanan, penyerang mengunggah file di salah satu plug in situs web toko tersebut.

“Mereka kemudian mengunggah webshell dan memodifikasi kode server untuk mencegat data pelanggan,” tulis peneliti. Webshell adalah kode perintah untuk akses backdoor (pintu belakang) sehingga peretas bisa mengakses tanpa autentikasi dan tidak diketahui oleh pemilik sistem.

Selain membuat backdoor, peretas juga mencuri dan mengekstrak informasi pembayaran dan pribadi pelanggan di toko online yang disusupi tersebut. Modus ini dilakukan dengan teknik skimmer; mereka menyuntikkan skrip perintah yang disamarkan sebagai file gambar .jpg  dan disimpan di folder /app/design/frontend/.

Menurut peneliti, peretas mengunggah file eksekusi (executable) berbasis Linux bernama “linux_avp”. Program ini dibangun dalam bahasa Golang yang didesain menghapus dirinya sendiri dari hard disk dan menyamar sebagai proses ps-ef (suatu perintah dalam Linux) palsu.

Analisis terhadap “linux_avp” menunjukkan bahwa file tersebut ternyata berfungsi sebagai backdoor, menunggu perintah dari server yang dihosting beralamat IP 47.113.202.35 di Beijing.

Pada saat tim peneliti menulis temuan itu, belum perusahaan anti-virus yang mengenali malwar. Anehnya, ada seorang telah mengirimkan malware yang sama ke situs web VirusTotal pada 8 Oktober dengan komentar “test”.

“Ini hanya satu hari setelah berhasil menembus toko pelanggan kami. Orang yang mengunggah malware bisa jadi adalah pembuat malware, yang ingin menegaskan bahwa mesin anti-virus umum tidak akan mendeteksi kreasi mereka,” ujar peneliti.

Sansec telah memperbarui kemampuan deteksi untuk monitor keamanan eComscan miliknya dan malware ditemukan di beberapa server berbasis di Amerika Serikat dan Uni Eropa.[]

Redaktur: Andi Nugroho

#malware   #linux   #e-commerce   #peretasan   #skimmer   #backdoor   #sansec

Share:




BACA JUGA
Awas, Serangan Phishing Baru Kirimkan Keylogger yang Disamarkan sebagai Bank Payment Notice
Malware Manfaatkan Plugin WordPress Popup Builder untuk Menginfeksi 3.900+ Situs
CHAVECLOAK, Trojan Perbankan Terbaru
Paket PyPI Tidak Aktif Disusupi untuk Menyebarkan Malware Nova Sentinel
Penjahat Siber Persenjatai Alat SSH-Snake Sumber Terbuka untuk Serangan Jaringan