Le logiciel malveillant de StealthWorker est en cours de propagation dans une nouvelle campagne ciblant à la fois Linux et Windows. Notez que les versions précédentes du logiciel malveillant ciblé que la plate-forme Windows, mais un regard plus profond dans le répertoire ouvert de la dernière version a révélé que maintenant sert également les fichiers binaires de charge utile pour Linux.
Le logiciel malveillant est codé en golang - le langage de programmation utilisé pour créer le module qui contrôle les robots collecteurs Mirai, FortiGuard Labs chercheurs dans un nouveau rapport.
Qu'est-ce que StealthWorker? Présentation technique
"StealthWorker est un malware force brute qui a été lié à un site de commerce électronique compromis avec un skimmer intégré qui vole des renseignements personnels et les détails de paiement", les chercheurs dans un rapport dédié.
Dans ce type d'attaques, les logiciels malveillants est généralement en exploitant les vulnérabilités des systèmes de gestion de contenu ou de leurs plug-ins pour avoir accès au système ciblé. Une autre approche utilise des attaques par force brute - une méthode qui est très efficace contre les faibles ou les mots de passe couramment utilisés admin.
Il est convient de mentionner que StealthWorker a déjà été associé à des sites Web de commerce électronique fonctionnant sous Magento.
Actuellement, le logiciel malveillant peut profiter d'une gamme de failles de sécurité dans Magento, phpMyAdmin, et les systèmes cPanel CMS. En plus de ces exploits, le logiciel malveillant peut appliquer des techniques de force brute. En réalité, les dernières campagnes de StealthWorker sont entièrement basées sur des attaques par force brute utilisées pour l'entrée.
Une fois qu'un serveur est piraté, il peut devenir une autre cible pour les écumeurs embarqués ou violations de données générales, les chercheurs.
Le logiciel malveillant est également capable de créer des tâches planifiées sur les systèmes Windows et Linux pour obtenir la persistance en se copiant dans le Commencez dossier, la /tmp le dossier et la mise en place d'un crontab entrée.
Une fois que toutes les mesures nécessaires sont terminées et l'objectif a été inclus au botnet, le produit de logiciels malveillants communicant à sa commande et le serveur de contrôle.
en cours d'exécution Dynamiquement les logiciels malveillants, il commence une série de requêtes HTTP visant à enregistrer le bot au serveur découvert. Les paramètres de la requête GET contient la valeur « phpadmin » dans un « travailleur » très intéressant domaine, clairement référence au célèbre outil d'administration de base de données « PhpMyAdmin », largement déployée à travers l'Internet et trop souvent exposés inutilement à l'Internet.
En ce qui concerne le modèle de la force brutale, il est destiné à tenter de se connecter dans les services cibles à l'aide des informations d'identification extraites de la commande et de contrôle du serveur.
Plus précisement, la routine appelée « StartBrut » a pour but de préparer les informations d'identification extraites de la commande et de contrôle du serveur. Puis, le sous-programme « TryLogin » se connecte à l'hôte cible, tente d'authentifier à l'aide des informations d'identification fournies et attend la réponse du serveur, le rapport.
Au moment de la rédaction du rapport, les chercheurs ont identifié 40,000 destinations uniques potentiellement attaqués:
La répartition des domaines de premier niveau montre la moitié des cibles sont les « .com » et « .org », étonnamment suivi le russe par TLD, et d'autres cibles de l'Europe de. Europe centrale et du Sud semble trop ciblée mais dans une partie inférieure, actuellement, en ce moment.
l'information technique complète est disponible en le rapport officiel.