Il malware StealthWorker è attualmente in fase di diffusione in una nuova campagna rivolta sia Linux e Windows. Si noti che le versioni precedenti del malware mirato solo la piattaforma Windows, ma uno sguardo più profondo nella directory aperta della versione più recente ha rivelato che ora serve anche i binari di carico utile per Linux.
Il malware è codificato in Golang - il linguaggio di programmazione utilizzato per creare il modulo che controllava bot Mirai, FortiGuard Labs hanno detto i ricercatori in un nuovo rapporto.
Che cosa è StealthWorker? Panoramica tecnica
"StealthWorker è un malware forza bruta che è stato collegato a un sito web di e-commerce compromessa con uno skimmer incorporato che ruba informazioni personali e dettagli di pagamento", i ricercatori hanno detto in un rapporto dedicato.
In questo tipo di attacchi, malware viene di solito sfruttando le vulnerabilità dei sistemi di gestione dei contenuti o dei loro plug-in per ottenere l'accesso al sistema di mira. Un altro approccio sta usando attacchi di forza bruta - un metodo che è molto efficace contro le password di admin deboli o di uso comune.
E 'opportuno ricordare che StealthWorker è stata precedentemente associata con i siti web di e-commerce Magento-alimentati.
Attualmente, il malware può usufruire di una serie di falle di sicurezza in Magento, phpMyAdmin, e sistemi di cPanel CMS. In aggiunta a questi exploit, il malware può applicare tecniche di forza bruta. Infatti, le ultime campagne di StealthWorker sono interamente basati su attacchi di forza bruta utilizzate per l'ingresso.
Una volta che un server è violato, può diventare un altro obiettivo per skimmer incorporati o violazioni dei dati generali, i ricercatori hanno detto.
Il malware è anche in grado di creare operazioni pianificate su entrambi i sistemi Windows e Linux per ottenere la persistenza copiando sé nel Avviare cartella, il /tmp cartella e la creazione di un crontab iscrizione.
Una volta che tutti i passi necessari sono stati completati e l'obiettivo è stato incluso per la botnet, il ricavato nocive con connessione al suo server di comando e controllo.
Dinamicamente in esecuzione il malware, inizia una serie di richieste http volto a registrare il bot al server scoperto. I parametri di richiesta GET contiene il valore “phpadmin” in un campo molto interessante “lavoratore”, chiaro riferimento del famigerato strumento di amministrazione del database “PhpMyAdmin”, diffusa attraverso la rete internet e troppe volte inutilmente esposti a Internet.
Per quanto riguarda il modello di forza bruta, essa ha lo scopo di tentare di accedere in servizi di destinazione utilizzando le credenziali recuperati dal server di comando e controllo.
Più specificamente, la routine denominata “StartBrut” ha lo scopo di preparare le credenziali recuperati dal server di comando e controllo. Poi, la subroutine “TryLogin” si collega al host di destinazione, cerca di autenticazione mediante credenziali fornite e attende la risposta del server, dice il rapporto.
Al momento della stesura della relazione, i ricercatori hanno identificato 40,000 destinazioni uniche potenzialmente sotto attacco:
La distribuzione del Top Level Domain mostra la metà degli obiettivi sono i “.com” e “.org” quelli, sorprendentemente seguito il dominio di primo livello dal russo, e altri obiettivi Europa orientale. Europa centrale e meridionale sembra sono mirati troppo, ma con in una porzione inferiore, attualmente.
Completa divulgazione tecnica è disponibile in il rapporto ufficiale.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: