Den StealthWorker malware er ved at blive spredt i en ny kampagne rettet mod både Linux og Windows. Bemærk, at tidligere versioner af malware kun målrettet Windows-platformen, men en dybere kig ind i den åbne mappe af den nyeste version afslørede, at det nu også tjener payload binære filer til Linux.
Den malware er kodet i Golang - programmeringssproget bruges til at skabe det modul, der kontrollerede Mirai robotter, FortiGuard Labs forskerne sagde i en ny rapport.
Hvad er StealthWorker? Teknisk oversigt
"StealthWorker er en brute-force malware, der har været forbundet med en kompromitteret e-handel website med en integreret hulske, der stjæler personlige oplysninger og betalingsoplysninger", forskerne sagde i en særlig rapport.
I denne type angreb, malware er normalt udnytter sårbarheder i content management systemer eller deres plugins til at få adgang til den målrettede systemet. En anden metode er at bruge brute force-angreb - en metode, der er ganske effektiv mod svage eller almindeligt anvendte admin passwords.
Det skal nævnes, at StealthWorker tidligere er blevet forbundet med Magento-drevne e-handel websteder.
I øjeblikket, malwaren kan drage fordel af en række sikkerhedshuller i Magento, phpMyAdmin, og cPanel CMS systemer. Ud over disse exploits, malwaren kan anvende brute force teknikker. Som en kendsgerning, de nyeste kampagner StealthWorker er udelukkende baseret på brute force-angreb, der anvendes for indrejse.
Når en server er hacket, det kan blive et andet mål for indlejrede forplove eller generelle data brud, forskerne sagde.
Den malware er også i stand til at skabe planlagte opgaver på både Windows- og Linux-systemer til at vinde vedholdenhed ved at kopiere sig selv i Start op folder, den /tmp mappe og oprette en crontab indgang.
Når alle nødvendige trin er afsluttet, og målet er medtaget for at botnettet, malware fortsætter med at forbinde til sin kommando og kontrol-server.
Dynamisk kører malware, det starter en serie af http-anmodninger til formål at registrere bot til den opdagede server. De GET anmodning parametre indeholder ”phpadmin” værdi i en ganske interessant ”arbejdstager” feltet, klar henvisning af den berygtede ”PhpMyAdmin” database administration værktøj, udbredte på tværs af internettet og for mange gange unødigt udsat for internettet.
Som for brute force-modellen, Det er meningen, at at forsøge at logge ind target tjenester ved hjælp af legitimationsoplysninger hentet fra kommando og kontrol-server.
Mere specifikt, rutine med navnet ”StartBrut” har til formål at forberede de legitimationsoplysninger hentet fra kommando og kontrol-server. Derefter, subrutinen ”TryLogin” forbinder til målværten, forsøger at godkende brug af den medfølgende legitimationsoplysninger og venter på svar fra serveren, hedder det i rapporten.
På tidspunktet for at skrive rapporten, forskerne identificeret 40,000 unikke destinationer potentielt under angreb:
Fordelingen af topdomæner viser halvdelen af målene er ”.com” og ”.org” dem, overraskende fulgt af russiske TLD, og andre østeuropæiske mål. Mellem- og Sydeuropa synes er målrettet også, men med i en nederste del, i øjeblikket.
Fuld teknisk videregivelse er tilgængelig i den officielle rapport.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: