De StealthWorker malware wordt momenteel verspreid in een nieuwe campagne gericht op zowel Linux als Windows. Merk op dat de vorige versies van de malware alleen gericht op de Windows-platform, maar een diepere kijk in de open directory van de meest recente versie is gebleken dat het nu ook dient payload binaries voor Linux.
De malware is gecodeerd in Golang - de programmeertaal gebruikt om de module die Mirai bots gecontroleerde creëren, FortiGuard Labs onderzoekers zei in een nieuw rapport.
Wat is StealthWorker? technisch overzicht
"StealthWorker is een brute-force malware die is gekoppeld aan een gecompromitteerd e-commerce website met een ingesloten skimmer dat persoonlijke informatie en betalingsgegevens steelt", de onderzoekers zei in een specifiek verslag.
In dit type aanvallen, malware wordt meestal zwakke plekken in content management systemen of hun plugins om de toegang tot het beoogde systeem te krijgen. Een andere benadering is het gebruik van brute force-aanvallen - een methode die is zeer effectief tegen zwak of veelgebruikte admin wachtwoorden.
Het moet worden vermeld dat StealthWorker al eerder in verband gebracht met Magento-aangedreven e-commerce websites.
Momenteel, de malware kunnen profiteren van een reeks van beveiligingsfouten in Magento, phpMyAdmin, en cPanel CMS systemen. In aanvulling op deze exploits, de malware kan brute kracht toepassen. In feite, de laatste campagnes van StealthWorker zijn volledig gebaseerd op brute force attacks gebruikt voor de inschrijving.
Zodra een server is gehackt, het kan een ander doelwit voor embedded skimmers of algemene datalekken worden, aldus de onderzoekers.
De malware is ook in staat om geplande taken op zowel Windows en Linux-systemen te persistentie winnen door zichzelf te kopiëren in de Beginnen map, de /tmp map en het opzetten van een crontab binnenkomst.
Zodra alle benodigde stappen zijn voltooid en het doel is opgenomen om het botnet, de malware opbrengst in verbinding staan met de command and control server.
Dynamisch uitvoeren van de malware, het begint een reeks van HTTP-verzoeken gericht op het bot registreren om de gevonden server. Het GET request parameters bevat de “phpadmin” waarde in een heel interessant gebied “werknemer”, duidelijke verwijzing van de beruchte “PhpMyAdmin” databank administratietool, op grote schaal ingezet in het internet en te vaak onnodig blootgesteld aan het internet.
Wat betreft de brute force model, het is bedoeld om te proberen om in te loggen in doel-diensten met de aanmeldingsgegevens opgehaald uit de command and control-server.
Specifieker, de routine met de naam “StartBrut” heeft tot doel om de referenties opgehaald uit de command and control-server voor te bereiden. Dan, de subroutine “TryLogin” verbindt met het doel gastheer, probeert te authenticeren met behulp verstrekt referenties en wacht op het antwoord van de server, aldus het rapport.
Op het moment van het schrijven van het rapport, identificeerden de onderzoekers 40,000 unieke bestemmingen potentieel onder vuur:
De verdeling van de Top Level Domains toont de helft van de doelstellingen zijn de “.com” en “.org” enen, verrassend volgde de door de Russische TLD, en andere Oost-Europese doelen. Midden- en Zuid-Europa lijkt zijn ook, maar met gerichte in een onderste gedeelte, momenteel.
De volledige technische openbaarmaking is beschikbaar in het proces-verbaal.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: