Un nuovo ceppo di malware è stato avvistato in natura da Kaspersky security team. Nome Plurox, questo nuovo malware è un taglio sopra il solito ceppi di malware i ricercatori di sicurezza di incontro su una base quotidiana.
Secondo Kaspersky, Plurox, nonostante i primi test, ha alcune belle caratteristiche avanzate e in grado di agire come una backdoor in infettati reti di imprese, possono diffondere lateralmente di compromettere ancora di più sistemi, e possono miniera cryptocurrencies usando uno degli otto diversi plugin.
In altre parole, il malware in grado di lavorare come un trojan backdoor, un auto-diffusione di virus, e una crypto-minatore, tutti allo stesso tempo.
Plurox progettato intorno ad una struttura modulare
Avvistata per la prima volta nel febbraio di quest’anno, il malware multi-sfaccettato set di funzionalità può essere attribuito alla sua costruzione modulare.
Il malware nucleo è costituito da una componente primaria che permette Plurox bot (host infetti) per parlare di un comando e controllo (C&C) server.
Questo componente relativa alla comunicazione è al centro del Plurox malware. Secondo Kaspersky, il Plurox equipaggio utilizza per scaricare ed eseguire file su un host infetti. Questi file aggiuntivi, denominati “plugins” e che è dove la maggior parte dei malware sono presenti caratteristiche.
Kaspersky ha trovato otto plugin dedicati per cryptocurrency di data mining (ogni plugin focalizzata sulla CPU/GPU mining su diverse configurazioni hardware), un plugin UPnP, e un SMB plug-in.
Plurox scopo principale: cryptomining
Dopo l’analisi di come il malware ha parlato del suo server C&C, hanno detto i ricercatori hanno rapidamente capito che il malware suo scopo principale era cryptocurrency di data mining.
“Quando il monitoraggio del malware attività, abbiamo rilevato due sottoreti’,”, ha detto Anton Kuzmenko, ricercatore di Kaspersky.
In una subnet, Plurox bot ricevuto solo mining moduli, e nella seconda subnet, tutti i moduli sono disponibili per il download.
Lo scopo di questi due distinti canali di comunicazione è sconosciuta; tuttavia, mostra che la principale funzione attiva in entrambe le subnet era cryptocurrency di data mining, e probabilmente il motivo principale per il Plurox malware è stato creato in primo luogo.
SMB plugin è un riconfezionato NSA sfruttare
Come per gli altri plugin, Kasperksy detto SMB plug-in di un riconfezionato EternalBlue, un exploit sviluppato dalla NSA e che era trapelato pubblicamente da un misterioso gruppo di hacker, nel 2017.
EternalBlue è attualmente ampiamente utilizzata da più di malware bande, così non è una sorpresa che Plurox è di usarlo.
Lo scopo di SMB plugin è quello di consentire agli aggressori di scansione di reti locali e quindi la diffusione di posti di lavoro vulnerabili tramite il protocollo SMB (eseguendo il EternalBlue sfruttare).
Per i ricercatori, parti di Plurox pmi plugin sembra essere stato copiato da un simile SMB plugin impiegato da Trickster malware.
“Sulla base di questo, si può supporre che i campioni analizzati sono stati prelevati dallo stesso codice sorgente (righe di commento in Trickster plugin mancanti nella Plurox plugin), il che significa che i rispettivi creatori di Plurox e Trickster possono essere collegati,” Kuzmenko, ha detto.
UPnP plugin ispirato da un altro NSA sfruttare
Ma il sneakiest plugin di tutti è quello di Kaspersky chiama il plugin UPnP. Questo modulo crea le regole di port forwarding sulla rete locale di un host infetto, in modo efficace la creazione di un tunnel (backdoor) all’interno di reti aziendali e bypassando il firewall e altri programmi di sicurezza.
Per Kaspersky, il Plurox squadra sembra aver preso ispirazione per la creazione di questo plugin da un altro trapelato NSA sfruttare denominato EternalSilence. Tuttavia, non utilizzare l’effettivo EternalSilence codice ma sviluppato una propria versione, invece.
Ora, è chiaro come il Plurox gang è la diffusione di questo malware per ottenere un primo punto d’appoggio su reti di grandi dimensioni. Ulteriori dettagli tecnici e gli indicatori di compromesso (Ioc) sono disponibili su Kaspersky SecureList blog.
Correlati malware e attacchi informatici di copertura:
Nuovo Echobot malware è un miscuglio di vulnerabilitiesScranos malware è tornato con nuovi attacchi e brutto aggiornato featuresRansomware ferma la produzione per giorni in occasione di importanti parti di aeroplano manufacturerMysterious Iraniano gruppo di hacking nel DNA sequencersThis “più pericolosi” gruppo di hacker è ora di tastatura potenza gridsMicrosoft avverte Azure clienti di Exim worm Più di 3B falsi messaggi di posta elettronica inviati ogni giorno, come gli attacchi di phishing persistono TechRepublicGame of Thrones ha più malware di qualsiasi pirata TV show CNET
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati