CowerSnail Backdoor que se dirige a los dispositivos de Windows


Los desarrolladores de malware SambaCry basado en Linux están de vuelta con CowerSnail Windows backdoor.

Kaspersky Lab ha identificado la presencia de una puerta trasera diseñada principalmente para atacar sistemas Windows. Cuando el backdoor infecta correctamente el sistema, el malware aumenta automáticamente sus prioridades de proceso y crea una conexión con el servidor C & C mediante el protocolo IRC. Después de recopilar la información del sistema, la envía al dominio C & C y intercambia ping con el servidor. A continuación, el malware espera otros comandos de sus distribuidores.

El experto en seguridad Sergey Yunakovsky en Kaspersky Labs dijo que el malware crea “dos troyanos separados”, cada uno de los cuales está diseñado para atacar una plataforma en particular y ambos tienen su propio conjunto de peculiaridades. Por lo tanto, afirma Yunakovsky, “es muy probable que este grupo produzca más malware en el futuro”.

Según su análisis , esta puerta trasera en particular ha sido diseñada por los mismos ciberdelincuentes que anteriormente explotaron la vulnerabilidad de Samba llamada SambaCry o EternalRed para apuntar sistemas Linux con un minero de criptomonedas. Se sospecha así porque el backdoor descubierto por Kaspersky Labs como Backdoor.Win32.CowerSnail está siendo controlada por el mismo servidor C & C (comando y control), es decir, cl.ezreal.space:20480, que entregó el malware de Linux.

Además, Yunakovsky escribe que  “A diferencia de SambaCry, CowerSnail no descarga software de minería de criptomonedas de forma predeterminada, sino que proporciona un conjunto estándar de funciones de puerta trasera:
  • Recibir actualización (actualización local)
  • Ejecutar cualquier comando (BatchCommand)
  • Instala CowerSnail como un servicio, utilizando la interfaz de línea de comandos de Service Control Manager (Install)
  • Desinstala CowerSnail de la lista de servicios (Desinstalar)
  • Recopila información del sistema:
    • Timestamp
    • Tipo de sistema operativo instalado (por ejemplo, Windows)
    • Nombre del sistema operativo
    • Nombre de host
    • Información sobre interfaces de red
    • ABI
    • Arquitectura del procesador central
    • Información sobre la memoria física “

Los expertos creen que los ciberdelincuentes utilizan Qt para desarrollar el marco multiplataforma CowerSnail, que recopila información sobre el dispositivo/máquina infectado, lleva a cabo comandos, recibe actualizaciones e instala/desinstala como un servicio.

Tal vez los autores lo han aprovechado para obtener el código UNIX directamente transferido sin utilizar la API de Windows. Aparte de evitar el uso de API y tener el código transferido a través de plataformas, Qt también aumenta considerablemente el tamaño del archivo resultante.

Para su información, la vulnerabilidad SambaCry fue explotada para vincular el malware en el sistema Linux con el atacante; CVE-2017-7494 puede explotarse para permitir que un servidor cargue una biblioteca compartida en un recurso compartido para que un atacante remoto pueda ejecutar código arbitrario en el sistema infectado. Los productos afectados por esta vulnerabilidad de seguridad incluían dispositivos NAS o dispositivos de almacenamiento y routers conectados a la red.

Vía |hackread

log in

reset password

Back to
log in