En ny stam av skadlig kod har upptäckts i det vilda av Kaspersky security team. Heter Plurox, denna nya malware är en klippa ovanför den vanliga malware stammar säkerhet forskare stöter på en daglig basis.
Enligt Kaspersky, Plurox, trots att det är i tidiga tester, har en del ganska avancerade funktioner och kan fungera som en bakdörr in i infekterade företag och nätverk, som kan sprida sig i sidled för att kompromissa ännu fler system, och kan min cryptocurrencies med hjälp av en av åtta olika plugins.
Med andra ord, det skadliga programmet kan fungera som en bakdörr trojan, en self-sprida virus, och ett krypto-miner, alla på samma gång.
Plurox konstruerad runt en modulär struktur
Såg för första gången i februari i år, malware är mångfacetterad uppsättning kan hänföras till dess modulära bygga.
Malware är kärnan består av en primär komponent som gör Plurox bots (infekterade värdar) för att prata med en command and control (C&C) server.
Denna kommunikation komponent är i mitten av Plurox malware. Enligt Kaspersky, den Plurox besättningen använder den för att ladda ner och köra filer på den redan infekterade värdar. Dessa ytterligare filer med namnet “plugins” och det är där de flesta av de skadliga funktioner är närvarande.
Kaspersky sa att det finns åtta plugins avsedd för cryptocurrency mining (varje plugin fokuserade på CPU/GPU gruvdrift på olika maskinvarukonfigurationer), en UPnP-plugin, och en SMB-plugin.
Plurox huvudsakliga syfte: cryptomining
Efter att ha analyserat hur malware pratade med sin C&C-server, forskarna sade att de snabbt insåg att det skadliga programmet huvudsakliga syfte var cryptocurrency gruvdrift.
“När övervakning skadlig kod aktivitet, vi upptäckte två “undernät”, säger Anton Kuzmenko, Kaspersky forskare.
I ett subnät, Plurox bots fick bara gruv-moduler, och i andra subnät, alla moduler som finns tillgängliga för nedladdning.
Syftet med dessa två separata kommunikationskanaler är okänd, men det visar att den primära funktionen är aktiv i både subnät var cryptocurrency gruvdrift, och sannolikt det viktigaste skälet Plurox malware skapades i första hand.
SMB-plugin är en ompaketerade NSA utnyttja
Som för andra plugins, Kasperksy sade SMB-plugin var packat EternalBlue, en exploatering som utvecklats av NSA, och som hade läckt ut offentligt av en mystisk hacker-gruppen i och med 2017.
EternalBlue är för närvarande i stor utsträckning är anställda av flera malware gäng, så det är ingen överraskning att Plurox är att använda det också.
Syftet med SMB-plugin är att göra det möjligt för angripare att skanna lokala nätverk och sedan spred sig till utsatta arbetsstationer via SMB-protokollet (genom att köra EternalBlue utnyttja).
Per forskare, delar av Plurox SMB plugin verkar ha kopierats från ett liknande SMB-plugin som är anställd av Trickster malware.
“Baserat på detta kan vi anta att den analyserade prover togs från samma källkod (kommenterade rader i Trickster plugin saknas i Plurox plugin), vilket innebär att respektive skapare av Plurox och Trickster kan vara kopplade,” Kuzmenko sagt.
UPnP-plugin inspirerad av en annan NSA utnyttja
Men sneakiest plugin för dem alla är vad Kaspersky samtal UPnP-plugin. Denna modul skapar regler för vidarebefordring av port på den lokala nätverk av en infekterad värd, vilket i praktiken skapar en tunnel (bakdörr) i företagets nätverk och förbi brandväggar och andra säkerhetslösningar.
Per Kaspersky, den Plurox laget verkar ha tagit inspiration för att skapa denna plugin från en annan läckt NSA utnyttja heter EternalSilence. Men de använder inte den faktiska EternalSilence koden, men har utvecklat sin egen version istället.
Just nu är det oklart hur Plurox gänget är att sprida detta malware för att få ett första fotfäste på större nätverk. Ytterligare tekniska detaljer och indikatorer för kompromiss (IOCs) finns på Kaspersky SecureList blogg.
Relaterade skadliga program och it-brottslighet täckning:
Nya Echobot malware är ett smörgåsbord av vulnerabilitiesScranos malware har återvänt med nya attacker och otäck uppgraderade featuresRansomware stoppar produktionen i dagar i stora flygplansdelar manufacturerMysterious Iranska gruppen är ett intrång i DNA sequencersThis “farligaste” hacka gruppen är nu granskande makt gridsMicrosoft varnar Azure kunder av Exim masken Mer än 3B falsk e-post som skickas dagligen som phishing-attacker kvarstår TechRepublicGame of Thrones har de mest skadliga av alla piratkopierade TV-show CNET
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter