CowerSnail, nuova backdoor per Windows collegata a SambaCry

CowerSnail, nuova backdoor per Windows collegata a SambaCry

Kaspersky lancia l'allarme di una nuova backdoor per i sistemi operativi di casa Microsoft basata sulla vulnerabilità CVE-2017-7494. Si sospetta che gli autori siano gli stessi di EternalMiner
Kaspersky lancia l'allarme di una nuova backdoor per i sistemi operativi di casa Microsoft basata sulla vulnerabilità CVE-2017-7494. Si sospetta che gli autori siano gli stessi di EternalMiner

Gli esperti di sicurezza di Kaspersky hanno individuato un nuovo trojan-horse per sistemi Windows chiamato CowerSnail. Il malware offre le funzionalità tipiche di una backdoor : capacità di ricevere aggiornamenti, eseguire comandi sulla macchina, collezionare informazioni sul sistema target e possibilità di installarsi o disinstallarsi nella lista dei servizi di Windows per l’esecuzione in background.

Nella sua analisi , Sergey Yunakovsky spiega in dettaglio ogni fase dell’infezione: nella prima fase CowerSnail aumenta la priorità del proprio processo, successivamente avvia un servizio separato per la gestione della comunicazione con il C&C (Command and Control) mediante StartServiceCtrlDispatcher .

cowersnail

Se il servizio si attiva con successo le successive comunicazioni con il C&C saranno trasportate tramite esso, altrimenti CowerSnail è in grado di operare senza. Dopo aver registrato l’host infetto nel server C&C, CowerSnail rimane in attesa dei comandi da eseguire.

Alcune caratteristiche salienti hanno permesso all’autore della ricerca di ricondurre il malware ad EternalMiner , la backdoor circolata il mese scorso su migliaia di sistemi Linux per il mining di criptomonete, basata sulla vulnerabilità SambaCry.
Tra queste emerge proprio l’ indirizzo del C&C : cl.ezreal.space sulla porta 20480. La comunicazione avviene presumibilmente attraverso il protocollo IRC riconoscibile nell’analisi del traffico per la presenza del comando “CHANNEL” solitamente utilizzato per comunicare il canale a cui connettersi alle botnet basate su IRC.

cowersnail

Un’altra somiglianza è costituita dall’ utilizzo massiccio del framework Qt , insieme di librerie note agli sviluppatori Linux che permette al codice di essere cross-platform e di non utilizzare le API Win32, pur appesantendo la dimensione dell’eseguibile.

Secondo Yunakovsky è molto probabile, date le somiglianze tra i malware, che in futuro ci troveremo ad affrontare nuove creazioni degli stessi autori.

Ilaria Di Maro

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 28 lug 2017
Link copiato negli appunti