کارشناسان امنیتی FortiGuard یک پویش بدافزاری جدید کشف کردند که هدف آن انتقال بدافزار StealthWorker است. این کد مخرب سیستمهای ویندوز و لینوکس را هدف قرار میدهد و از سامانههای آسیبدیده برای انجام حملات کورکورانه استفاده میکند. این کد مخرب اولین بار توسط Malwarebytes در ماه فوریه کشف شد و توسط پژوهشگران بدافزار در Cybaze-Yoroi ZLab با نام GoBrut ردیابی شد.
StealthWorker به پویش نفوذی نسبت داده شده است که هدف آن چند وبگاه تجارت الکترونیک است که در Magento اجرا میشوند. مقالهی اخیری که منتشر شده است، نحوهی مرتبط شدن این ربات با یک پویش نصب جاوااسکریپت را توصیف میکند که چند پورتال وب را هدف قرار میدهد. این قطعه کد جاوااسکریپت جاسازیشده قادر است اطلاعات حساس مانند گواهینامهها و شمارهی کارت اعتباری را بهسرقت ببرد. این روش حمله بهشدت خطرناک است و ممکن است منجر به افشای اطلاعات گستردهای در سازمانها شود. کارشناسان در Cybaze-Yoroi ZLab بهتازگی پویشی را مشاهده کردند که از یک ماژول phpadmin استفاده میکند و منجر به حمله به هزاران برنامهی نصب PhpMyAdmin در سراسر اینترنت میشود. بدافزار StealthWorker همچنین قادر است که سیستمهای مدیریت محتوا را کنترل کند و در پویش قبلی، بهطور عمده بااستفاده از برنامهی بارگیر تروجان WallyShack منتشر شده است.
مهاجمان پشت این پویش نه تنها وبگاههای تجارت الکترونیک را هدف قرار میدهند، بلکه تلاش میکنند تا همهی سیستمهای آسیبپذیر احتمالی را که از گواهینامههای ضعیف استفاده میکنند، جمعآوری کنند. هنگامیکه قابلیت دسترسی به یک میزبان هدف آسیبپذیر تأیید شد، بسته به ویژگیهای سیستم، میتواند به هدف دیگری برای افشا اطلاعات عمومی تبدیل شود. کد مخرب با ایجاد وظایف برنامهریزیشده در دستگاههای ویندوز و لینوکس و کپی خودکار کد آن به فولدر استارتاپ یا پوشهی tmp و تنظیم یک ورودی crontab پایدار میشود. هنگامیکه این بدافزار سیستمها را آلوده میکند، کد مخرب به سرور دستور و کنترل (C2) متصل میشود تا به آن اطلاع دهد که میتواند دستورات را قبول کند. بدافزار StealthWorker عمدتاً برای بررسی خدمات در حال اجرا در یک سرور هدف و انجام حملات کورکورانهی علیه آنها استفاده میشود و کد مخرب نیز یک سازوکار بهروزرسانی پیادهسازی میکند.
