StealthWorkerマルウェアは現在、LinuxとWindowsの両方を対象とした新しいキャンペーンで拡散しています。. 以前のバージョンのマルウェアはWindowsプラットフォームのみを対象としていることに注意してください, しかし、最新バージョンのオープンディレクトリを詳しく調べると、Linuxのペイロードバイナリも提供するようになっていることがわかりました。.
マルウェアはGolangでコード化されています。これは、Miraiボットを制御するモジュールの作成に使用されるプログラミング言語です。, FortiGuardLabsの研究者は新しいレポートで述べました.
StealthWorkerとは? 技術概要
「「StealthWorkerは、個人情報と支払いの詳細を盗むスキマーが埋め込まれた、侵害されたeコマースWebサイトにリンクされたブルートフォースマルウェアです。」, 研究者は専用のレポートで言った.
このタイプの攻撃では, マルウェアは通常、コンテンツ管理システムまたはそのプラグインの脆弱性を悪用して、標的のシステムにアクセスします。. 別のアプローチは、ブルートフォース攻撃を使用することです。これは、弱いまたは一般的に使用される管理者パスワードに対して非常に効果的な方法です。.
StealthWorkerは、以前はMagentoを利用したeコマースWebサイトに関連付けられていました。.
現在, マルウェアはMagentoのさまざまなセキュリティ上の欠陥を利用できます, phpMyAdmin, およびcPanelCMSシステム. これらのエクスプロイトに加えて, マルウェアはブルートフォース技術を適用できます. 実際のところ, StealthWorkerの最新のキャンペーンは、エントリに使用されるブルートフォース攻撃に完全に基づいています.
サーバーがハッキングされたら, 組み込みスキマーや一般的なデータ侵害のもう1つの標的になる可能性があります, 研究者は言った.
このマルウェアは、WindowsシステムとLinuxシステムの両方でスケジュールされたタスクを作成して、自身をコピーすることで永続性を獲得することもできます。 起動 フォルダ, the /tmp フォルダと設定 crontab エントリ.
必要なすべての手順が完了し、ターゲットがボットネットに含まれるようになったら, マルウェアはコマンドおよび制御サーバーへの接続を続行します.
マルウェアを動的に実行する, 検出されたサーバーにボットを登録することを目的とした一連のhttpリクエストを開始します. GETリクエストパラメータには、非常に興味深い「worker」フィールドに「phpadmin」値が含まれています, 悪名高い「PhpMyAdmin」データベース管理ツールの明確なリファレンス, インターネット全体に広く展開され、インターネットに不必要にさらされる回数が多すぎる.
力ずくのモデルは, これは、コマンドアンドコントロールサーバーから取得した資格情報を使用してターゲットサービスへのログインを試みることを目的としています。.
すなわち, 「StartBrut」という名前のルーチンは、コマンドアンドコントロールサーバーから取得した資格情報を準備することを目的としています。. それで, サブルーチン「TryLogin」はターゲットホストに接続します, 提供された資格情報を使用して認証を試み、サーバーの応答を待ちます, レポートによると.
レポート作成時, 研究者は特定した 40,000 攻撃を受ける可能性のある固有の宛先:
トップレベルドメインの分布は、ターゲットの半分が「.com」と「.org」のものであることを示しています, 驚くべきことに、ロシアのTLDが続きました, およびその他の東ヨーロッパのターゲット. 中央ヨーロッパと南ヨーロッパもターゲットにされているようですが、下部にあります, 現在.
完全な技術的開示はで利用可能です 公式レポート.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: