El software malicioso StealthWorker actualmente está siendo difundido en una nueva campaña dirigida tanto Linux y Windows. Tenga en cuenta que las versiones anteriores del software malicioso sólo se concentraron la plataforma Windows, pero una mirada más profunda en el directorio abierto de la versión más reciente reveló que ahora también sirve binarios de carga útil para Linux.
El software malicioso se codifica en Golang - el lenguaje de programación utilizado para crear el módulo que controla robots de Mirai, dijeron FortiGuard Labs investigadores en un nuevo informe.
¿Qué es StealthWorker? Resumen técnico
"StealthWorker es un malware de fuerza bruta que se ha vinculado a un sitio web de comercio electrónico comprometida con un skimmer incorporado al que roba información personal y los datos de pago", dijeron los investigadores en un informe dedicado.
En este tipo de ataques, el malware está explotando vulnerabilidades por lo general en los sistemas de gestión de contenidos o sus complementos para obtener acceso al sistema de destino. Otro enfoque está utilizando ataques de fuerza bruta - un método que es bastante eficaz contra débiles o de uso común contraseñas de administrador.
Se debe mencionar que StealthWorker se ha asociado previamente con sitios web de comercio electrónico que funcionan con Magento.
Actualmente, el malware puede tomar ventaja de una serie de fallos de seguridad en Magento, phpMyAdmin, cPanel y sistemas CMS. Además de estos exploits, el malware puede aplicar técnicas de fuerza bruta. Como una cuestión de hecho, las últimas campañas de StealthWorker se basan totalmente en ataques de fuerza bruta utilizados para la entrada.
Una vez que se cortó un servidor, que puede convertirse en otro objetivo para skimmers incrustados o violaciones de datos generales, los investigadores dijeron.
El malware también es capaz de crear las tareas programadas en los sistemas Windows y Linux para ganar la persistencia copias de sí mismo en el Puesta en marcha carpeta, la /tmp carpeta y la creación de una crontab entrada.
Una vez que todos los pasos necesarios se hayan completado y el objetivo se ha incluido a la red de bots, las ganancias de malware con la conexión a su servidor de comando y control.
Dinámicamente ejecutando el software malicioso, se inicia una serie de peticiones http destinado a registrar el robot al servidor descubierto. Los parámetros de la petición GET contiene el valor “phpadmin” en un campo de “trabajador” bastante interesante, clara referencia de la herramienta de administración de base de datos notoria “PhpMyAdmin”, ampliamente desplegado a través de Internet y demasiadas veces innecesariamente expuestos a internet.
En cuanto al modelo de fuerza bruta, que está destinado a tratar de iniciar sesión en los servicios de destino utilizando las credenciales se recuperan del servidor de comando y control.
Más específicamente, la rutina llamada “StartBrut” tiene el propósito de preparar las credenciales se recuperan del servidor de comando y control. Entonces, la subrutina “TryLogin” se conecta al host de destino, intenta autenticar usando las credenciales proporcionadas y espera la respuesta del servidor, según el informe.
En el momento de la redacción del informe, los investigadores identificaron 40,000 destinos únicos potencialmente bajo ataque:
La distribución de la muestra dominios de nivel superior de la mitad de los objetivos son los y las “.com”, “.org”, sorprendentemente seguido por el dominio de nivel superior de Rusia, y otros objetivos de Europa del Este. Central y del Sur de Europa están dirigidos parece demasiado pero con una porción inferior, actualmente.
divulgación técnica completa está disponible en el informe oficial.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: