Ένα νέο malware που ονομάζεται BlackWater προσποιείται ότι είναι πληροφορίες για τον κορωνοϊό COVID-19 ενώ κακοποιεί τους Cloudflare Workers ως interface στον malware server command and control (C2).
Τα Cloudflare Workers είναι προγράμματα JavaScript που τρέχουν απευθείας από το edge του Cloudflare, ώστε να μπορούν να αλληλεπιδρούν με απομακρυσμένους web πελάτες. Αυτοί οι Workers μπορούν να χρησιμοποιηθούν για να τροποποιήσουν το output ενός website πίσω από το Cloudflare, να απενεργοποιήσουν τις λειτουργίες Cloudflare ή ακόμα και να λειτουργήσουν ως ανεξάρτητα προγράμματα JavaScript.
Για παράδειγμα, μπορεί να δημιουργηθεί ένας Cloudflare Worker για να αναζητήσετε κείμενο σε ένα output του web server και να αντικαταστήσετε λέξεις σε αυτό ή απλά να εξάγετε δεδομένα πίσω σε ένα web client.
Το BlackWater χρησιμοποιεί Cloudflare Workers ως interface C2
Πρόσφατα, το MalwareHunterTeam ανακάλυψε ένα διανεμόμενο αρχείο RAR που προσποιείται ότι είναι αρχείο με πληροφορίες για τον κορωνοϊό Corovavirus (COVID-19) που ονομάζεται “Important – COVID-19.rar”.
Δεν είναι γνωστός αυτήν τη στιγμή ο τρόπος με τον οποίο διανέμεται το αρχείο, αλλά πιθανότατα γίνεται μέσω μηνυμάτων ηλεκτρονικού “ψαρέματος” (phishing).
Μέσα σε αυτό το αρχείο RAR υπάρχει ένα αρχείο με τίτλο ” Important – COVID-19.rar ” που χρησιμοποιεί ένα εικονίδιο του Word. Δυστυχώς, καθώς η Microsoft αποκρύπτει τις επεκτάσεις αρχείων από προεπιλογή, πολλοί θα δουν απλά αυτό το αρχείο ως έγγραφο του Word και όχι ως εκτελέσιμο και θα είναι πιο πιθανό να το ανοίξουν.
Ενώ τα θύματα διαβάζουν το έγγραφο COVID-19, το malware εξάγει επίσης το αρχείο% UserProfile% \ AppData \ Local \ Library SQL \ bin \ version 5.0 \ sqltuner.exe.
Αυτό είναι το σημείο που τα πράγματα γίνονται λίγο ενδιαφέροντα καθώς το malware εκκινείται χρησιμοποιώντας μια γραμμή εντολών που προκαλεί το malware BlackWater να συνδεθεί με έναν Cloudflare Worker που λειτουργεί ως server εντολών και ελέγχου.
Εάν επισκεφθείτε αυτό το website απευθείας, στους χρήστες θα εμφανιστεί την ακόλουθη εικόνα “HellCat”.
Ο επικεφαλής του SentinelLabs, Vitali Kremez δήλωσε στο BleepingComputer ότι αυτός ο worker είναι το front end μιας εφαρμογής ReactJS Strapi που λειτουργεί ως server εντολών και ελέγχου.
Ο Kremez δήλωσε ότι αυτό το C2 θα αποκρίνεται με ένα κωδικοποιημένο string JSON που μπορεί να περιέχει εντολές για εκτέλεση όταν το malware συνδέεται με αυτό με τις σωστές παραμέτρους ελέγχου ταυτότητας.
Όταν ρωτήσαμε γιατί χρησιμοποιούσαν έναν Cloudflare Worker αντί να συνδεθεί online με το C2, ο Kremez θεώρησε ότι ήταν πιο δύσκολο για το software ασφαλείας να εμποδίσει το IP traffic χωρίς να αποκλείσει όλη την υποδομή του Cloudflare Worker.
Παρόλο που υπάρχουν ακόμα πολλά για να μάθετε για αυτό το νέο malware και πώς λειτουργεί, παρέχει μια ενδιαφέρουσα ματιά στο πώς οι malware developers χρησιμοποιούν νόμιμες υποδομές cloud με καινοφανείς τρόπους.
Χρησιμοποιώντας το CloudWorkers, η κυκλοφορία στους servers εντολών και ελέγχου κακόβουλου λογισμικού γίνεται πιο δύσκολο να αποκλειστεί και η λειτουργία κακόβουλου λογισμικού μπορεί εύκολα να κλιμακωθεί ανάλογα με τις ανάγκες.
