Группировка, написавшая троян-майнер для Linux, разработала Windows-малварь CowerSnail

AmneziaWG
S

shooter

Original poster
Совсем недавно специалисты «Лаборатории Касперского»

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

о трояне-майнере для Linux-систем. Малварь эксплуатирует

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

(она же SambaCry), которой подвержены все версии Samba начиная с 3.5.0, вышедшей еще в 2010 году.

Теперь специалист «Лаборатории Касперсого» Сергей Юнаковский

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, что группировка, создавшая вышеупомянутый майнер, также разработала малварь для Windows — CowerSnail. Заметить связь между вредоносами позволил управляющий сервер, который используют обе угрозы: cl.ezreal.space:20480.

Исследователь пишет, что CowerSnail написан с использованием Qt и «слинкован» с соответствующими библиотеками. Данный фреймворк обеспечивает кроссплатформенность и переносимость исходного кода при переходе от одной операционной системы к другой, но это сказывается на размере файла — чуть более трех мегабайт при достаточно небольшом объеме пользовательского кода.

В отличие от Linux-майнера, CowerSnail не майнит криптовалюту, но предоставляет своим операторам стандартный набор функций бэкдора:

  • получение обновлений (LocalUpdate);
  • выполнение команд (BatchCommand);
  • установка CowerSnail в качестве сервиса с помощью командного интерфейса Service Control Manager (Install);
  • удаление установленного в качестве сервиса CowerSnail (Uninstall);
  • сбор информации о системе:
  • временной штамп;
  • тип установленной ОС (например, Windows);
  • имя продукта;
  • имя хоста;
  • информация о сетевом интерфейсе;
  • поддерживаемый интерфейс приложений (ABI);
  • архитектура процессора;
  • информация о физической памяти.

170720-cowersnail-7.png


Как показал анализ трафика, с управляющим сервером малварь взаимодействует IRC-протоколу. Так, в глаза сразу бросается характерная команда CHANNEL и дальнейший «переброс» пингами, что достаточно часто встречается у IRC-ботнетов в IoT.

170720-cowersnail-4.png


«CowerSnail написан с использованием Qt – то есть автор, скорее всего, не пожелал разбираться в деталях WinAPI и предпочел перенести код из *nix “как есть”. Это, как и использование той же самой C&C, позволяют с большой долей уверенности предположить, что данный зловред был создан группой, ответственной за SambaCry. С учетом наличия двух разных троянцев, каждый под свою платформу и со своими особенностями, вероятно, это не последнее их вредоносное ПО», — резюмирует Юнаковский.
 
Название темы
Автор Заголовок Раздел Ответы Дата
Support81 Группировка RansomedVC объявила о закрытии из-за возможных арестов Новости в сети 0
Support81 Группировка LockBit заявила о взломе Boeing Новости в сети 0
Support81 Bifrost: старый троян использует новые трюки, чтобы украсть вашу идентичность Новости в сети 0
Support81 Подростки распространяют новый троян Silver RAT, способный обойти любую защиту Новости в сети 1
Support81 Android-троян SpyNote записывает аудио и телефонные звонки Новости в сети 0
MIRASCH Кто знает как можно замаскировать apk-троян? Вопросы и интересы 1
Denik Интересно Найден Android-троян, ворующий данные из 378 приложений Новости в сети 1
V Мошенники и новый троян Raccoon stealer Новости в сети 0
S Новый банковский Android-троян распространяется под видом обновления Flash Player Новости в сети 0
S В китайских смартфонах Nomu и Leagoo найден предустановленный троян Новости в сети 0
S В Google Play Store обнаружен новый троян-шпион для Android Новости в сети 0
S Обнаружен новый многофункциональный троян-шпион для Android Новости в сети 0
S Новый мобильный троян подписывает россиян на платные сервисы Новости в сети 1
S Пользователей российских банков атакует троян-невидимка для Android Новости в сети 0
Admin Android-троян Faketoken похищает банковские данные и шифрует файлы Новости в сети 0
Admin Хакеры продают троян GovRAT 2.0 для атак на военные организации США Новости в сети 2

Название темы