Di MAro Ilaria

CowerSnail, nuova backdoor per Windows collegata a SambaCry

Kaspersky lancia l'allarme di una nuova backdoor per i sistemi operativi di casa Microsoft basata sulla vulnerabilità CVE-2017-7494. Si sospetta che gli autori siano gli stessi di EternalMiner

Roma - Gli esperti di sicurezza di Kaspersky hanno individuato un nuovo trojan-horse per sistemi Windows chiamato CowerSnail. Il malware offre le funzionalità tipiche di una backdoor: capacità di ricevere aggiornamenti, eseguire comandi sulla macchina, collezionare informazioni sul sistema target e possibilità di installarsi o disinstallarsi nella lista dei servizi di Windows per l'esecuzione in background.

Nella sua analisi, Sergey Yunakovsky spiega in dettaglio ogni fase dell'infezione: nella prima fase CowerSnail aumenta la priorità del proprio processo, successivamente avvia un servizio separato per la gestione della comunicazione con il C&C (Command and Control) mediante StartServiceCtrlDispatcher.

cowersnail

Se il servizio si attiva con successo le successive comunicazioni con il C&C saranno trasportate tramite esso, altrimenti CowerSnail è in grado di operare senza. Dopo aver registrato l'host infetto nel server C&C, CowerSnail rimane in attesa dei comandi da eseguire.
Alcune caratteristiche salienti hanno permesso all'autore della ricerca di ricondurre il malware ad EternalMiner, la backdoor circolata il mese scorso su migliaia di sistemi Linux per il mining di criptomonete, basata sulla vulnerabilità SambaCry.
Tra queste emerge proprio l'indirizzo del C&C: cl.ezreal.space sulla porta 20480. La comunicazione avviene presumibilmente attraverso il protocollo IRC riconoscibile nell'analisi del traffico per la presenza del comando "CHANNEL" solitamente utilizzato per comunicare il canale a cui connettersi alle botnet basate su IRC.

cowersnail

Un'altra somiglianza è costituita dall'utilizzo massiccio del framework Qt, insieme di librerie note agli sviluppatori Linux che permette al codice di essere cross-platform e di non utilizzare le API Win32, pur appesantendo la dimensione dell'eseguibile.

Secondo Yunakovsky è molto probabile, date le somiglianze tra i malware, che in futuro ci troveremo ad affrontare nuove creazioni degli stessi autori.

Ilaria Di Maro
Notizie collegate
  • SicurezzaSambaCry, NAS sotto attaccoL'allarme arriva da Trend Micro: la vulnerabilità SambaCry viene ora sfruttata per caricare backdoor nei NAS basati su Unix. Laddove le patch non fossero installabili, c'è uno modo per mitigarne l'effetto
  • SicurezzaVulnerabilità in Samba, un nuovo WannaCry?Patchato un bug, presente da anni, che potrebbe consentire a un utente remoto di acquisire il controllo totale del sistema vittima. L'exploit è stato ribattezzato EternalRed in "onore" di EternalBlue
  • AttualitàIl dopo WannaCry? Di male in peggioSe il ransomware WannaCry ha fatto piangere, quello che verrà sarà terrore puro: a prometterlo è il gruppo di cracker Shadow Brokers
13 Commenti alla Notizia CowerSnail, nuova backdoor per Windows collegata a SambaCry
Ordina