Un grupo de ciberdelincuentes filtró inadvertidamente una lista de 41 tiendas en línea previamente pirateadas. La lista fue encontrada por investigadores de Sansec mientras examinaban un cuentagotas utilizado para implementar un troyano de acceso remoto sigiloso diseñado para proporcionar un acceso a largo plazo a sitios de comercio electrónico para robar información personal y financiera de los clientes.
La RAT se entregó como un ejecutable ELF de 64 bits que se oculta en el proceso del servidor y se hace pasar por el demonio del servidor DNS o SSH para no levantar sospechas. Según los investigadores, el malware permanece en modo de suspensión casi todo el día y se despierta solo una vez por la mañana a las 7 de la mañana cuando intenta conectarse a su servidor de comando y control para solicitar instrucciones.
“El cuentagotas está diseñado para analizar diferentes configuraciones de implementación de Magento. En segundo lugar, el código PHP parece haber sido escrito por alguien que no esté familiarizado con PHP. Utiliza bloques de memoria compartida, que rara vez se usa en PHP pero es mucho más común en los programas C ”, dijeron los investigadores.
Sansec ha encontrado varias RAT similares en diferentes sistemas compilados en diferentes sistemas Red Hat y Ubuntu Linux, lo que sugiere la participación de varias personas en esta campaña, o que los ciberdelincuentes posiblemente obtuvieron el código fuente de RAT de fuentes públicas o lo compraron en los mercados de la web oscura.
Los investigadores dijeron que se comunicaron con los propietarios de tiendas en línea comprometidas para informarles que sus servidores fueron secuestrados.
