CowerSnail, nuova backdoor per Windows collegata a SambaCry

Kaspersky lancia l'allarme di una nuova backdoor per i sistemi operativi di casa Microsoft basata sulla vulnerabilità CVE-2017-7494. Si sospetta che gli autori siano gli stessi di EternalMiner

Roma – Gli esperti di sicurezza di Kaspersky hanno individuato un nuovo trojan-horse per sistemi Windows chiamato CowerSnail. Il malware offre le funzionalità tipiche di una backdoor : capacità di ricevere aggiornamenti, eseguire comandi sulla macchina, collezionare informazioni sul sistema target e possibilità di installarsi o disinstallarsi nella lista dei servizi di Windows per l’esecuzione in background.

Nella sua analisi , Sergey Yunakovsky spiega in dettaglio ogni fase dell’infezione: nella prima fase CowerSnail aumenta la priorità del proprio processo, successivamente avvia un servizio separato per la gestione della comunicazione con il C&C (Command and Control) mediante StartServiceCtrlDispatcher .

cowersnail

Se il servizio si attiva con successo le successive comunicazioni con il C&C saranno trasportate tramite esso, altrimenti CowerSnail è in grado di operare senza. Dopo aver registrato l’host infetto nel server C&C, CowerSnail rimane in attesa dei comandi da eseguire.

Alcune caratteristiche salienti hanno permesso all’autore della ricerca di ricondurre il malware ad EternalMiner , la backdoor circolata il mese scorso su migliaia di sistemi Linux per il mining di criptomonete, basata sulla vulnerabilità SambaCry.
Tra queste emerge proprio l’ indirizzo del C&C : cl.ezreal.space sulla porta 20480. La comunicazione avviene presumibilmente attraverso il protocollo IRC riconoscibile nell’analisi del traffico per la presenza del comando “CHANNEL” solitamente utilizzato per comunicare il canale a cui connettersi alle botnet basate su IRC.

cowersnail

Un’altra somiglianza è costituita dall’ utilizzo massiccio del framework Qt , insieme di librerie note agli sviluppatori Linux che permette al codice di essere cross-platform e di non utilizzare le API Win32, pur appesantendo la dimensione dell’eseguibile.

Secondo Yunakovsky è molto probabile, date le somiglianze tra i malware, che in futuro ci troveremo ad affrontare nuove creazioni degli stessi autori.

Ilaria Di Maro

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • xte scrive:
    Ah, DDD,
    roba tipo questa https://github.com/the-laughing-monkey/cicada-platformimmagino. Ora inviterei tutti a domandarvi una cosa: da quale elemento si misura la resistenza di una catena? Un tempo si diceva dall'anello più debole. Adesso domandatevi a cosa serve una cifratura teoricamente inviolabile se poi il software che la implementa gira su una macchina con un fw chiuso e proprietario che tutto formalmente può, senza bisogno di complotti alcuni, prodotto da 4 gatti e venduto a tutti. Ora domandatevi a cosa servono contratti&garanzie legali se le aziende son più grandi degli stati e se 4 gatti da "vendor" diventano le sole piattaforme di fatto del mondo.Adesso mettete un pizzico di realismo, immaginazione e servite. Ocio che è una ricetta molto indigesta, sopratutto perché al momento gli ingredienti in padella siamo noi.
Chiudi i commenti