CowerSnail – Windows Backdoor đào bitcoin

By | 10:17 am | 28/07/2017

windows-malware-cryptocurrency-miner

CowerSnail: Backdoor.Win32.CowerSnail, được phát hiện bởi các nhà nghiên cứu bảo mật tại Kaspersky Labs, là một mã độc với đầy đủ tính năng của một backdoor, cho phép thực thi lệnh từ xa trên hệ thống bị nhiễm.

CowerSnail backdoor sử dụng cùng một C&C server (Common C&C Server Location – cl.ezreal.space:20480) với mã độc được sử dụng để lây nhiễm các máy Linux bằng cách khai thác lỗ hổng SambaCry.

Lỗ hổng SambaCry (CVE-2017-7494), được đặt tên bởi sự giống nhau của nó với lỗ hổng Windows SMB được khai thác bởi các WannaCry ransomware gần đây. Tất cả các phiên bản Samba < 3.5.0 đã phát hành trong 7 năm qua đều bị ảnh hưởng.

home_mob

Ngay sau khi được công khai, SambaCry đã bị khai thác để cài đặt phần mềm từ xa – “CPUminer” – ý chỉ đào Bitcoin, Litecoin, Monero,… trên hệ điều hành Linux.

Cryptocurrency là một môi trường trao đổi các loại tiền ảo, được thiết kế cho mục đích trao đổi thông tin số thông qua một quá trình theo nguyên tắc mật mã. Cryptocurrency đầu tiên là Bitcoin. Bitcoin được tạo ra vào năm 2009 bởi Satoshi Nakamoto sử dụng SHA-256.

Nhưng bây giờ, các hacker nhắm mục tiêu cả hệ điều hành Windows và Linux, CPUminer bằng cách sử dụng tài nguyên máy tính của các hệ thống bị xâm nhập để tạo ra lợi nhuận.

Sergey Yunakovsky của Kaspersky Lab cho biết: “Sau khi tạo ra 2 Trojans riêng biệt, mỗi Trojan được thiết kế cho một nền tảng cụ thể và với đặc điểm riêng của nó thì có thể sẽ có nhiều phần mềm độc hại hơn trong tương lai”.

Samba là phần mềm nguồn mở (tái thực hiện giao thức SMB/CIFS) dành cho các máy chủ Linux/Unix trên hệ điều hành và thiết bị IoT mà sử dụng các dịch vụ tệp tin và in của .

Mặc dù đã được vá vào cuối tháng 5, nhưng lỗ hổng SambaCry vẫn đang bị khai thác. Chỉ mới tuần trước, các nhà nghiên cứu đã phát hiện ra một mã độc mới, có tên là SHELLBIND mà khai thác lỗ hổng SambaCry nhắm tới các thiết bị NAS (Network Attached Storage).

Theo: The Hacker News