CowerSnail, nuova backdoor per Windows collegata a SambaCry

Kaspersky lancia l'allarme di una nuova backdoor per i sistemi operativi di casa Microsoft basata sulla vulnerabilità CVE-2017-7494. Si sospetta che gli autori siano gli stessi di EternalMiner
Kaspersky lancia l'allarme di una nuova backdoor per i sistemi operativi di casa Microsoft basata sulla vulnerabilità CVE-2017-7494. Si sospetta che gli autori siano gli stessi di EternalMiner

Gli esperti di sicurezza di Kaspersky hanno individuato un nuovo trojan-horse per sistemi Windows chiamato CowerSnail. Il malware offre le funzionalità tipiche di una backdoor : capacità di ricevere aggiornamenti, eseguire comandi sulla macchina, collezionare informazioni sul sistema target e possibilità di installarsi o disinstallarsi nella lista dei servizi di Windows per l’esecuzione in background.

Nella sua analisi , Sergey Yunakovsky spiega in dettaglio ogni fase dell’infezione: nella prima fase CowerSnail aumenta la priorità del proprio processo, successivamente avvia un servizio separato per la gestione della comunicazione con il C&C (Command and Control) mediante StartServiceCtrlDispatcher .

cowersnail

Se il servizio si attiva con successo le successive comunicazioni con il C&C saranno trasportate tramite esso, altrimenti CowerSnail è in grado di operare senza. Dopo aver registrato l’host infetto nel server C&C, CowerSnail rimane in attesa dei comandi da eseguire.

Alcune caratteristiche salienti hanno permesso all’autore della ricerca di ricondurre il malware ad EternalMiner , la backdoor circolata il mese scorso su migliaia di sistemi Linux per il mining di criptomonete, basata sulla vulnerabilità SambaCry.
Tra queste emerge proprio l’ indirizzo del C&C : cl.ezreal.space sulla porta 20480. La comunicazione avviene presumibilmente attraverso il protocollo IRC riconoscibile nell’analisi del traffico per la presenza del comando “CHANNEL” solitamente utilizzato per comunicare il canale a cui connettersi alle botnet basate su IRC.

cowersnail

Un’altra somiglianza è costituita dall’ utilizzo massiccio del framework Qt , insieme di librerie note agli sviluppatori Linux che permette al codice di essere cross-platform e di non utilizzare le API Win32, pur appesantendo la dimensione dell’eseguibile.

Secondo Yunakovsky è molto probabile, date le somiglianze tra i malware, che in futuro ci troveremo ad affrontare nuove creazioni degli stessi autori.

Ilaria Di Maro

Link copiato negli appunti

Ti potrebbe interessare

28 07 2017
Link copiato negli appunti