Plurox, un nou tip de malware ce poate fi backdoor, cryptominer dar se poate extinde singur precum un worm

Kaspersky a descoperit un nou tip de malware în oraș, intitulat Plurox, ce se menține peste așteptările cercetătorilor de cybersecurity.

Acest malware este la începutul evoluției, chiar în perioada de testare. Acesta dispune funcționalități avansate și poate să fie și backdoor. Se poate mișca lateral foarte ușor astfel încât să infecteze mai multe dispozitive din aceeași rețea dar poate să și mineze cryptomonede folosind 1 din cele 8 pluginuri existente.

Acestea fiind spuse, acest malware este backdoor, worm dar și crypto-miner.

Plurox este dezvoltat conform unei structuri modulare

Acesta a fost descoperit prima dată în luna Februarie anul curent, iar funcționalitatea principală al acestui malware constă în abilitatea de a comunica cu un server de Command and Control (C&C).

Conform celor de la Kaspersky, echipa din spatele malwareului folosește dispozitivele infectate pentru a downloada și rula diferite fișiere pe unitățile infectate. Aceste fișiere adiționale se numesc "pluginuri" iar acestea reprezintă funcționalități adiționale.

Cercetătorii au descoperit 8 pluginuri dedicate minatului de cryptomonede (fiecare plugin fiind focusat pe minatul cu CPU/GPU pe diferite configurații hardware), un plugin UPnP și unul pentru SMB.

Scopul principal, minatul de cryptomonede

Cât despre celelalte pluginuri, Kaspersky confirmă că pluginul SMB reprezintă EternalBlue reîmpachetat (un exploit dezvoltat de NSA care a fost leakuit de către un grup anonim de hackerii în 2017). EternalBlue este răspândit și folosit de multe grupări de hacking, de aceea prezența lui în Plurox este inevitabilă.

Scopul pluginului SMB este de a le permite hackerilor să scaneze rețelele locale și să se răspândească către alte dispozitive vulnerabile prin intermediul protocoului SMB. Anumite părți din pluginul de SMB sunt copiate de la malwareul intitulat Trickster.

Kuzmenko a detaliat totul despre malware într-un articol publicat pe siteul SecureList. În urma analizei făcute, acesta presupune că actorii ce au dezvoltat Trickster și Plurox pot fi apropiați (deoarece liniile de cod comentate în malwareul Trickster, lipsesc din liniile de cod existente în Plurox, sau aceștia au obținut codul sursă folosit în Trickster).

UPnP plugin, inspirat de alt exploit NSA

Cel mai complex plugin este cel de UPnP. Acest modul crează reguli de port forwarding pe rețeaua locală în care se află dispozitivul infectat, realizând un tunel (backdoor) ce le permite acestora să evite firewallul cât și alte soluții de securitate.

Conform celor de la Kapsersky, echipa din spatele Plurox s-a inspirat din alt exploit leakuit de NSA, numit EternalSilence, cu toate că nu au folosit 100% același cod, ci și-au dezvoltat versiunea proprie.

Concluzii

Acest malware este la începutul zilelor sale, se extinde conform celor spuse de la Kuzmenko în articolul personal, iar cu ajutorul pluginurilor de care dispune, hackerii din spatele campaniei se pot îmbogății peste noapte luând în calcul faptul că acest malware se poate extinde singur, are capabilități de minat cryptomonede dar poate fi utilizat și ca backdoor.

Dacă ați fost afectați de acest malware, vă aștept să vă împărtășiți experiențele pe pagina de Facebook.