Κυριακή, 29 Μαρτίου, 16:21
Αρχική security BlackWater Malware: Προσποιείται ότι είναι αρχείο με πληροφορίες για τον κορωνοϊό

BlackWater Malware: Προσποιείται ότι είναι αρχείο με πληροφορίες για τον κορωνοϊό

Ένα νέο malware που ονομάζεται BlackWater προσποιείται ότι είναι πληροφορίες για τον κορωνοϊό COVID-19 ενώ κακοποιεί τους Cloudflare Workers ως interface στον malware server command and control (C2).

Τα Cloudflare Workers είναι προγράμματα JavaScript που τρέχουν απευθείας από το edge του Cloudflare, ώστε να μπορούν να αλληλεπιδρούν με απομακρυσμένους web πελάτες. Αυτοί οι Workers μπορούν να χρησιμοποιηθούν για να τροποποιήσουν το output ενός website πίσω από το Cloudflare, να απενεργοποιήσουν τις λειτουργίες Cloudflare ή ακόμα και να λειτουργήσουν ως ανεξάρτητα προγράμματα JavaScript.

malware

Για παράδειγμα, μπορεί να δημιουργηθεί ένας Cloudflare Worker για να αναζητήσετε κείμενο σε ένα output του web server και να αντικαταστήσετε λέξεις σε αυτό ή απλά να εξάγετε δεδομένα πίσω σε ένα web client.

Το BlackWater χρησιμοποιεί Cloudflare Workers ως interface C2

Πρόσφατα, το MalwareHunterTeam ανακάλυψε ένα διανεμόμενο αρχείο RAR που προσποιείται ότι είναι αρχείο με πληροφορίες για τον κορωνοϊό Corovavirus (COVID-19) που ονομάζεται “Important – COVID-19.rar”.

Δεν είναι γνωστός αυτήν τη στιγμή ο τρόπος με τον οποίο διανέμεται το αρχείο, αλλά πιθανότατα γίνεται μέσω μηνυμάτων ηλεκτρονικού “ψαρέματος” (phishing).

Μέσα σε αυτό το αρχείο RAR υπάρχει ένα αρχείο με τίτλο ” Important – COVID-19.rar ” που χρησιμοποιεί ένα εικονίδιο του Word. Δυστυχώς, καθώς η Microsoft αποκρύπτει τις επεκτάσεις αρχείων από προεπιλογή, πολλοί θα δουν απλά αυτό το αρχείο ως έγγραφο του Word και όχι ως εκτελέσιμο και θα είναι πιο πιθανό να το ανοίξουν.

Ενώ τα θύματα διαβάζουν το έγγραφο COVID-19, το malware εξάγει επίσης το αρχείο% UserProfile% \ AppData \ Local \ Library SQL \ bin \ version 5.0 \ sqltuner.exe.

Αυτό είναι το σημείο που τα πράγματα γίνονται λίγο ενδιαφέροντα καθώς το malware εκκινείται χρησιμοποιώντας μια γραμμή εντολών που προκαλεί το malware BlackWater να συνδεθεί με έναν Cloudflare Worker που λειτουργεί ως server εντολών και ελέγχου.

Εάν επισκεφθείτε αυτό το website απευθείας, στους χρήστες θα εμφανιστεί την ακόλουθη εικόνα “HellCat”.

Ο επικεφαλής του SentinelLabs, Vitali Kremez δήλωσε στο BleepingComputer ότι αυτός ο worker είναι το front end μιας εφαρμογής ReactJS Strapi που λειτουργεί ως server εντολών και ελέγχου.

Ο Kremez δήλωσε ότι αυτό το C2 θα αποκρίνεται με ένα κωδικοποιημένο string JSON που μπορεί να περιέχει εντολές για εκτέλεση όταν το malware συνδέεται με αυτό με τις σωστές παραμέτρους ελέγχου ταυτότητας.

Όταν ρωτήσαμε γιατί χρησιμοποιούσαν έναν Cloudflare Worker αντί να συνδεθεί online με το C2, ο Kremez θεώρησε ότι ήταν πιο δύσκολο για το software ασφαλείας να εμποδίσει το IP traffic χωρίς να αποκλείσει όλη την υποδομή του Cloudflare Worker.

Παρόλο που υπάρχουν ακόμα πολλά για να μάθετε για αυτό το νέο malware και πώς λειτουργεί, παρέχει μια ενδιαφέρουσα ματιά στο πώς οι malware developers χρησιμοποιούν νόμιμες υποδομές cloud με καινοφανείς τρόπους.

Χρησιμοποιώντας το CloudWorkers, η κυκλοφορία στους servers εντολών και ελέγχου κακόβουλου λογισμικού γίνεται πιο δύσκολο να αποκλειστεί και η λειτουργία κακόβουλου λογισμικού μπορεί εύκολα να κλιμακωθεί ανάλογα με τις ανάγκες.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

Πώς η τηλεργασία κάνει τους χρήστες πιο ευάλωτους στους χάκερς;

Ο Κοροναϊός έχει μολύνει περισσότερους από 450.000 ανθρώπους παγκοσμίως και τώρα οι ειδικοί στον τομέα της κυβερνοασφάλειας προειδοποιούν ότι η πανδημία θα...

Ποιες είναι οι πιο συχνές απειλές για τις επιχειρήσεις;

Κατά τη διάρκεια του 2019, οι μισές περίπου επιχειρήσεις έπεσαν θύμα μιας κυβερνοεπίθεσης ή παραβίασης δεδομένων. Σχεδόν...

Τρεις ακόμα συμμορίες ransomware εκθέτουν δεδομένα θυμάτων σε sites

Τρεις ακόμη συμμορίες ransomware ανακοίνωσαν τη δημιουργία sites, που χρησιμοποιούνται για τη διαρροή κλεμμένων δεδομένων, που ανήκουν...

Zoom: Ποια χαρακτηριστικά του το καθιστούν πιο δημοφιλές από το Skype;

Κάποτε το Skype ήταν η δημοφιλέστερη εφαρμογή βιντεοκλήσεων καθώς την επέλεγε ένα τεράστιο ποσοστό ανθρώπων όταν επρόκειτο να επικοινωνήσουν εξ αποστάσεως. Το...

Το «Control» και άλλα παιχνίδια διαθέσιμα πλέον στο GeForce Now

Η NVIDIA έχει εμπλουτίσει τον κατάλογο των παιχνιδιών που υποστηρίζονται στο GeForce Now, με ένα πλήθος νέων...

Ευπάθεια παράκαμψης VPN ανακαλύφθηκε στο Apple iOS

Μία νέα ευπάθεια «VPN Bypass», η οποία ανακαλύφθηκε πρόσφατα στο Apple iOS, μπλοκάρει την κρυπτογράφηση που πραγματοποιούν...

Εργοδότες παρακολουθούν με λογισμικά επιτήρησης τους υπαλλήλους που δουλεύουν από το σπίτι

Ο κορωνοϊός έχει φέρει νέες συνθήκες στον τομέα της εργασίας. Όλο και περισσότεροι εργαζόμενοι δουλεύουν πλέον από το σπίτι και όλο και...

Microsoft: Κυκλοφόρησε το πρώτο preview του Powershell 7.1 για Windows, Linux και macOS

Η Microsoft κυκλοφόρησε το πρώτο preview του PowerShell 7.1, του εργαλείου αυτοματοποίησης και γραφής γλώσσας για τα Windows, Linux και macOS. Το...

Η Google ανακοίνωσε ζητήματα σχετικά με τις ενημερώσεις του Chrome

Η Google έχει ήδη ανακοινώσει ορισμένες περικοπές στην ανάπτυξη του προγράμματος περιήγησης Chrome και τώρα φαίνεται ότι...

7 τρόποι για να αυξήσετε την ταχύτητα και την αξιοπιστία του Wi-Fi σας!

Τώρα που πολλοί από εμάς είμαστε στο σπίτι συνέχεια ως αποτέλεσμα της πανδημίας του COVID-19, υπερφορτώνουμε το οικιακό μας δίκτυο. Παρακάτω θα...