Уязвимость порталов электронной коммерции позволяет злоумышленникам развертывать бэкдор Linux, а также внедрять скиммер кредитных карт, крадущий платежную информацию с целевых сайтов.
Как сообщают исследователи из Sansec:
«Злоумышленник начал с поиска слабых мест в популярных онлайн-магазинах с помощью атакующих зондов. На второй день ему удалось найти в одном из плагинов магазина уязвимость, связанную с загрузкой файлов».
Название вендора-жертвы в сообщении не раскрывается.
Эта начальная точка опоры в последствии использовалась для загрузки вредоносной веб-оболочки и модификации кода сервера на слив клиентских данных. Кроме того, атакующий загрузил туда написанную на Go малварь
linux_avp, которая служит в качестве бэкдора для удаленного выполнения команд, передаваемых с C&C-сервера, расположенного в Пекине. 
Изначально программа маскируется под утилиту
ps-ef, отвечающую за отображение активных процессов в Unix-системах. По завершению же своих грязных дел она самоликвидируется.В Sansec, также обнаружили написанный на PHP веб-скиммер под видом иконки сайта (
favicon_absolute_top.jpg), который был добавлен в код платформы электронной коммерции с целью подмены платежных форм и кражи вводимых клиентами данных кредитных карт в реальном времени с последующей их передачей удаленному серверу.Кроме того, исследователи сообщили, что этот PHP-код размещался на сервере в Гонконге и в июле-августе текущего года использовался в качестве конечной точки эксфильтрации данных при скимминге.
