+32 50895535

Nieuwe Windows Backdoor Malware CowerSnail ontdekt

doorPablo Brusseel|juli 26, 2017|0reacties
Nieuwe Windows Backdoor Malware CowerSnail ontdekt

Een nieuwe soort Backdoor Malware is op de radar van security researchers verschenen. Het gaat om het trojaanse paard genaamd CowerSnail dat gemaakt is door dezelfde groep die verantwoordelijk was voor het misbruiken van de SambaCry kwetsbaarheid die het mogelijk maakte om verschillende Linux servers te infecteren met als doel om cryptocurrency te gaan mijnen.

Volgens een beveiligingsonderzoeker bij Kaspersky genaamd Sergey Yunakovsky, kan de malware enkel maar kleine basistaken uitvoeren. Momenteel kan het Batch commando’s uitvoeren die het ontvangt van zijn Command and Control (C&C) Server. Dit betekent dat de malware op de geïnfecteerde computer enkel als achterpoortje of ‘Backdoor’ gebruikt kan worden.

CowerSnail gebruikt een zeer ongebruikelijke programmeertaal. Het maakt gebruik van Qt, een codeer framework dat gebruikt word om applicaties te ontwikkelen voor verschillende besturingssystemen.

Nu is CowerSnail’s C&C server (cl.ezreal.space:20480) dezelfde server als die die gebruikt werd om de EternalRed crypto miner af te leveren op Linux servers met out-of-date Samba installaties die kwetsbaar waren voor de SambaCry bug.

“SambaCry was ontworpen voor *nix-gebaseerde systemen. CowerSnail werd ondertussen geschreven in QT, wat waarschijnlijk betekent dat de auteur zich niet wou verdiepen in de details van WinAPI en de *nix code wou overzetten zoals die was” – Sergey Yunakovsky

Het feit dat beide virussen gebruik maken van dezelfde C&C server wijst er ook op dat ze beiden waarschijnlijk door hetzelfde team gemaakt zijn. Dit betekent dus dat CowerSnail een nieuwe creatie is van de groep die achter EternalRed zit.

De meeste antivirus-software zullen de malware herkennen als Backdoor.Win32.CowerSnail, met de MD5 Hash:

5460AC43725997798BAB3EB6474D391F

Yunakovsky zei ook dat hij, door het afluisteren van de traffiek tussen de malware an zijn C&C server, aanwijzingen gevonden had dat de auteur misschien aan IRC functionaliteit werkt zodat hij de geïnfecteerde systemen kan besturen via het IRC-protocol en via daar zijn commando’s kan sturen.

Vaak wordt IRC gebruikt voor botnets, wat misschien een hint kan zijn over wat de hackersgroep van plan is met de malware.

Momenteel kan de malware de volgende dingen doen:

  • Zichzelf updaten
  • Zichzelf als een Windows Service installeren en de-installeren
  • Batch commando’s uitvoeren
  • Informatie verzamelen over het besmette systeem (OS, hostnaam, OS type, tijd, processor info, memory info, enz.)