بدافزار StealthWorker از ربات‌های ویندوز ولینوکس برای نفوذ به وب‌گاه‌ها استفاده می‌کند

کارشناسان امنیتی FortiGuard یک پویش بدافزاری جدید کشف کردند که هدف آن انتقال بدافزار StealthWorker است. این کد مخرب سیستم‌های ویندوز و لینوکس را هدف قرار می‌دهد و از سامانه‌های آسیب‌دیده برای انجام حملات کورکورانه استفاده می‌کند. این کد مخرب اولین بار توسط Malwarebytes در ماه فوریه کشف شد و توسط پژوهش‌گران بدافزار در Cybaze-Yoroi ZLab  با نام GoBrut ردیابی شد.

StealthWorker به پویش نفوذی نسبت داده شده است که هدف آن چند وب‌گاه تجارت الکترونیک است که در Magento اجرا می‌شوند. مقاله‌ی اخیری که منتشر شده است، نحوه‌ی مرتبط شدن این ربات با یک پویش نصب جاوااسکریپت را توصیف می‌کند که چند پورتال وب را هدف قرار می‌دهد. این قطعه کد جاوااسکریپت جاسازی‌شده قادر است اطلاعات حساس مانند گواهی‌نامه‌ها و شماره‌ی کارت اعتباری را به‌سرقت ببرد. این روش حمله به‌شدت خطرناک است و ممکن است منجر به افشای اطلاعات گسترده‌ای در سازمان‌ها شود. کارشناسان در Cybaze-Yoroi ZLab به‌تازگی پویشی را مشاهده کردند که از یک ماژول phpadmin استفاده می‌کند و منجر به حمله به هزاران برنامه‌ی نصب PhpMyAdmin در سراسر اینترنت می‌شود. بدافزار StealthWorker همچنین قادر است که سیستم‌های مدیریت محتوا را کنترل کند و در پویش قبلی، به‌طور عمده بااستفاده از برنامه‌ی بارگیر تروجان WallyShack منتشر شده است.

مهاجمان پشت این پویش نه تنها وب‌گاه‌های تجارت الکترونیک را هدف قرار می‌دهند، بلکه تلاش می‌کنند تا همه‌ی سیستم‌های آسیب‌پذیر احتمالی را که از گواهی‌نامه‌های ضعیف استفاده می‌کنند، جمع‌آوری کنند. هنگامی‌که قابلیت دسترسی به یک میزبان هدف آسیب‌پذیر تأیید شد، بسته به ویژگی‌های سیستم، می‌تواند به هدف دیگری برای افشا اطلاعات عمومی تبدیل شود. کد مخرب با ایجاد وظایف برنامه‌ریزی‌شده در دستگاه‌های ویندوز و لینوکس و کپی خودکار کد آن به فولدر استارتاپ یا پوشه‌ی tmp و تنظیم یک ورودی crontab پایدار می‌شود. هنگامی‌که این بدافزار سیستم‌ها را آلوده می‌کند، کد مخرب به سرور دستور و کنترل (C2) متصل می‌شود تا به آن اطلاع دهد که می‌تواند دستورات را قبول کند. بدافزار StealthWorker عمدتاً برای بررسی خدمات در حال اجرا در یک سرور هدف و انجام حملات کورکورانه‌ی علیه آن‌ها استفاده می‌شود و کد مخرب نیز یک سازوکار به‌روزرسانی پیاده‌سازی می‌کند.

منبع

پست‌های مشابه

Leave a Comment