O malware StealthWorker está sendo espalhada em uma nova campanha visando Linux e Windows. Note-se que as versões anteriores do malware única como alvo a plataforma Windows, mas uma análise mais profunda do diretório aberto da versão mais recente revelou que agora também serve binários de carga útil para Linux.
O malware é codificado no Golang - a linguagem de programação usada para criar o módulo que controlava os bots Mirai, Pesquisadores do FortiGuard Labs disseram em um novo relatório.
O que é o StealthWorker? Visão geral técnica
“O StealthWorker é um malware de força bruta que foi vinculado a um site de comércio eletrônico comprometido com um skimmer incorporado que rouba informações pessoais e detalhes de pagamento”, os pesquisadores disseram em um relatório dedicado.
Neste tipo de ataques, o malware geralmente explora vulnerabilidades nos sistemas de gerenciamento de conteúdo ou em seus plug-ins para obter acesso ao sistema de destino. Outra abordagem é usar ataques de força bruta - um método bastante eficaz contra senhas de administrador fracas ou comumente usadas.
Deve-se mencionar que o StealthWorker foi previamente associado a sites de comércio eletrônico alimentados pelo Magento.
atualmente, o malware pode tirar proveito de uma série de falhas de segurança no Magento, phpMyAdmin, e sistemas cPanel CMS. Além dessas explorações, o malware pode aplicar técnicas de força bruta. De fato, as últimas campanhas do StealthWorker são inteiramente baseadas em ataques de força bruta usados para entrada.
Depois que um servidor é hackeado, pode se tornar outro alvo para skimmers incorporados ou violações de dados gerais, os pesquisadores disseram.
O malware também é capaz de criar tarefas agendadas nos sistemas Windows e Linux para obter persistência, copiando-se no diretório Comece pasta, a /tmp pasta e configurar um crontab entrada.
Depois que todas as etapas necessárias forem concluídas e o destino tiver sido incluído na botnet, o malware continua com a conexão com seu servidor de comando e controle.
Executando dinamicamente o malware, inicia uma série de solicitações http destinadas a registrar o bot no servidor descoberto. Os parâmetros de solicitação GET contêm o valor “phpadmin” em um campo “trabalhador” bastante interessante, referência clara da notória ferramenta de administração de banco de dados “PhpMyAdmin”, amplamente implantado na Internet e muitas vezes exposto desnecessariamente à Internet.
Quanto ao modelo de força bruta, destina-se a tentar efetuar login nos serviços de destino usando credenciais recuperadas do servidor de comando e controle.
Mais especificamente, a rotina denominada “StartBrut” tem como objetivo preparar as credenciais recuperadas do servidor de comando e controle. Então, a sub-rotina "TryLogin" se conecta ao host de destino, tenta autenticar usando as credenciais fornecidas e aguarda a resposta do servidor, segundo o relatório.
No momento da redação do relatório, os pesquisadores identificaram 40,000 destinos únicos potencialmente sob ataque:
A distribuição dos domínios de primeiro nível mostra que metade dos alvos são os ".com" e ".org", surpreendentemente seguido pelo TLD russo, e outros objetivos da Europa Oriental. A Europa Central e do Sul parece também ser direcionada, mas com uma parcela menor, atualmente.
A divulgação técnica completa está disponível em o relatório oficial.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: