Die StealthWorker Malware wird zur Zeit in einer neuen Kampagne verbreitet wird Targeting Linux und Windows. Beachten Sie, dass frühere Versionen der Malware gezielt nur die Windows-Plattform, aber ein tieferer Blick in das offene Verzeichnis der aktuellen Version gezeigt, dass es jetzt auch Payload Binärdateien für Linux dient.
Die Malware wird in Golang codiert - die Programmiersprache verwendet, um das Modul zu schaffen, das Mirai Bots gesteuert, FortiGuard Labs sagte Forscher in einem neuen Bericht.
Was ist StealthWorker? technischer Überblick
"StealthWorker ist ein Brute-Force-Malware, die mit einem integrierten Skimmer zu einer kompromittierten E-Commerce-Website in Verbindung gebracht wurden, die persönlichen Daten und Zahlungsdetails stiehlt", sagten die Forscher in einem eigenen Bericht.
Bei dieser Art von Angriffen, Malware in der Regel nutzt Schwachstellen in Content-Management-Systeme oder deren Plugins Zugriff auf das Zielsystem zu erhalten. Ein anderer Ansatz ist mit Brute-Force-Angriffen - eine Methode, die sehr effektiv gegen schwach ist oder häufig Admin-Passwörter verwendet.
Es ist zu erwähnen, dass StealthWorker zuvor mit Magento betriebenen E-Commerce-Websites in Verbindung gebracht worden.
Zur Zeit, die Malware können die Vorteile einer Reihe von Sicherheitslücken in Magento nehmen, phpMyAdmin, und cPanel CMS-Systeme. Zusätzlich zu diesen Taten, die Malware kann Brute-Force-Techniken anwenden. In der Tat, die neuesten Kampagnen von StealthWorker auf Brute-Force-Angriffe alleinig für den Eintritt verwendet.
Sobald ein Server gehackt, es kann ein anderes Ziel für eingebettete Skimmer oder allgemeine Datenschutzverletzungen werden, sagten die Forscher.
Die Malware ist auch in der Lage geplanten Aufgaben auf Windows- und Linux-Systemen zu schaffen Ausdauer zu gewinnen, indem sie sich das Kopieren in die Anfang Mappe, die /tmp Ordner und die Einrichtung eines crontab Eintrag.
Sobald alle erforderlichen Schritte abgeschlossen sind und das Ziel hat, auf die Botnet aufgenommen, die Malware geht zu seinem Befehls- und Steuerserver mit Verbindungs.
läuft dynamisch die Malware, es beginnt eine Reihe von HTTP-Anfragen richtet den Bot auf den entdeckten Server registrieren. Die GET-Request-Parameter enthalten den „phpAdmin“ Wert in einem sehr interessant „Arbeiter“ Feld, klarer Hinweis des berüchtigten „PhpMyAdmin“ Datenbank Administrations-Tool, weit über das Internet bereitgestellt und zu oft unnötig mit dem Internet ausgesetzt.
Wie für das Brute-Force-Modell, es soll in Ziel Dienste versuchen, mit Anmeldeinformationen aus den Kommando- und Kontrollserver abgerufen anmelden.
Genauer, die Routine namens „StartBrut“ hat den Zweck, die Anmeldeinformationen von den Kommando- und Kontrollserver abgerufen vorzubereiten. Dann, das Unterprogramm „TryLogin“ eine Verbindung zu der Ziel-Host, versucht, unter Verwendung der bereitgestellten Anmeldeinformationen und wartet auf die Antwort des Servers zu authentifizieren, so der Bericht.
Zum Zeitpunkt des Berichts des Schreibens, die Forscher identifiziert 40,000 einzigartige Ziele möglicherweise unter Beschuss:
Die Verteilung des Top-Level-Domains zeigt die Hälfte der Ziele der „.com“ und „.org“ diejenigen sind, raschend folgte die von russischen TLD, und andere Osteuropa-Ziele. Mittel- und Südeuropa scheint auch, aber mit in einem unteren Bereich ist gezielte, zur Zeit.
Vollständige technische Offenbarung ist in der offizielle Bericht.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: