Аналитики Kaspersky рассказали о новой опасной малвари Plurox. Этот зловред сочетает в себе функциональность бэкдора, майнера и червя и способен распространяться по локальной сети с помощью эксплоита EternalBlue, похищенного у АНБ.
Таким образ, трехголовый зловред одновременно предоставляет злоумышленнику доступ к атакованной сети и устанавливает на машины жертв майнеры и другое вредоносное ПО. А так как Plurox оказался модульным решением, а значит, его функциональность можно при необходимости расширить с помощью плагинов.
Plurox написан на С, для сборки используется Mingw GCC, и судя по наличию отладочных строк, малварь еще находился на этапе тестирования. При этом исходные коды некоторых плагинов вредоносной программы указывают на возможную связь ее авторов с создателями банкера Trickbot. Схожий функционал и текст кода вредоносных программ позволяет сделать вывод, что они собраны из одних источников, а значит, их авторы могут быть связаны между собой.
Попав на инфицированное устройство, Plurox связывается с восемью командными серверами, разделенными на две группы. Адреса хостов, а также номера TCP-портов, через которые осуществляется коммуникация, жестко прописаны в коде зловреда. Две подсети центров управления отличаются составом плагинов, которые они передают на зараженный компьютер.
В арсенале Plurox семь команд, включая полную остановку зловреда и удаление следов его присутствия в системе. Авторы программы применяют относительно простое XOR-шифрование передаваемых пакетов, а загрузка и запуск модулей осуществляются при помощи механизма WinAPI CreateProcess.
Атакующие используют сразу несколько вариантов майнеров, оптимизированных под разные типы ЦП и графических чипсетов. Сначала Plurox собирает информацию о зараженной системе и отправляет ее на C&C-сервер, а в ответ получает плагин, соответствующий данной конфигурации оборудования.
Помимо майнеров, эксперты «Лаборатории Касперского» обнаружили еще два вредоносных модуля, используемых бэкдором. UPnP-плагин атакует роутеры, пытаясь подобрать IP-адрес из полученного от сервера диапазона, и проверяет доступность портов 135 и 445. В случае успеха зловред предположительно перебирает доступные эксплойты для атаки на локальные компьютеры и закрепляется в системе.
SMB-плагин отвечает за распространение вредоноса по сети с помощью эксплоита EternalBlue, похищенного у АНБ в 2016 году. С помощью этого эксплоита распространялись такие нашумевшие вредоносы, как WannaCry и NotPetya. Исследователи пишут, что данный модуль идентичен модулю wormDll32 от Trojan.Win32.Trickster (он же TrickBot, TheTrick и TrickLoader), но в его коде отсутствуют отладочные строки, а полезная нагрузка загружается с помощью сокетов.
Эксперты АКБ напоминают, что EternalBlue это тот самый эксплоит, с помощью которого хакеры парализовали на несколько недель работу городских служб Балтимора . Эксплоит был разработан на деньги американских налогоплательщиков специалистами Агентства национальной безопасности США для использования в кибероперациях. В 2017 году EternalBlue был похищен группировкой The Shadow Brockers, и с тех пор пополнил арсенал киберпреступников со всего мира. NYT также делает бесценное примечание: Балтимор просто единственный город, вышедший за пределы местной прессы, на самом деле вымогатель сейчас бушует в самых разных городах США, «от Пенсильвании до Техаса», парализуя работу местных органов власти и способствуя росту цен. С точки зрения кибербезопасности, местные правительства являются «слабым звеном» т.к. их компьютерная инфраструктура устарела и уязвима к кибератакам, а ресурсов на их отражение недостаточно. ФБР и АНБ до сих пор отказываются от комментариев.
