اكتشف فريق أمان Kaspersky سلالة جديدة من البرمجيات الخبيثة تسمى Plurox ، والتي تقوم بتعبئة cryptominer ، الباب الخلفي ، والإضافات الشبيهة بالديدان ، كلها في واحدة.
Plurox هو خفض فوق البرامج الضارة العادية. يأتي مزودًا بقدرات متطورة يمكنها نشر البرامج الضارة بشكل جانبي إلى المزيد من الأنظمة وعملتي cryptocurrency باستخدام أحد الإضافات الثمانية المختلفة .
يحتوي هذا الفيروس الذي ينتشر ذاتيًا على بنية معيارية تسهل ميزاته متعددة الأوجه مثل طروادة مستتر و cryptominer.
هيكل وحدات من Plurox
يحتوي Plurox في جوهره على مكون أساسي يسمح لبرامج Plurox (المضيفين المصابين) بالتواصل مع خادم الأوامر والتحكم (C&C) .
يقول فريق Kaspersky أن هذا المكون ضروري وأن مؤلفي Plurox يستخدمونه لتنزيل الملفات وتشغيلها على المضيفين المصابين. تسمى الملفات التي تم تنزيلها "plugins" ، والتي تحتوي على معظم ميزات البرامج الضارة.
الدافع وراء Plurox: Cryptomining
تم العثور على ثمانية ملحقات مختلفة في Plurox والغرض الوحيد منها هو التعدين cryptocurrency. تستند هذه المكونات الإضافية إلى تكوينات الأجهزة المختلفة للتعدين وحدة المعالجة المركزية / GPU. وبالإضافة إلى ذلك، هناك المساعد بنب و المساعد SMB .
من خلال مراقبة نشاط البرامج الضارة ، وجد الفريق اثنين من "الشبكات الفرعية". يتم تخصيص شبكة فرعية واحدة لتلقي وحدات التعدين فقط وتركز الشبكة الفرعية الأخرى على تنزيل جميع الوحدات المتوفرة.
على الرغم من أن الغرض من امتلاك قناتين منفصلتين للاتصال غير واضح ، إلا أنه يثبت أن الميزة الأساسية لكلتا الشبكتين الفرعيتين هي التنقيب عن العملة المشفرة.
Plurox مستوحاة من يستغل NSA
يعد المكون الإضافي SMB الذي تم ذكره سابقًا أساسًا عبارة عن NSA المعاد استغلاله يسمى EternalBlue والذي تم تسريبه بشكل عام في عام 2017.
يسمح المكون الإضافي للممثلين السيئين بمسح الشبكات المحلية ونشر البرامج الضارة على محطات العمل المعرضة للخطر عبر بروتوكول SMB (تشغيل استغلال EternalBlue).
ولكن هذا ليس كل شيء. UPnP هو في الواقع البرنامج المساعد الخائن والأكثر سيئة بين جميع. إنه ينشئ قواعد إعادة توجيه المنافذ على الشبكة المحلية لنظام مخترق ويستخدمه لإنشاء المباني الخلفية في شبكات المؤسسة متجاوزة جدران الحماية وإجراءات الأمان الأخرى المعمول بها.
مرة أخرى ، جاء الإلهام وراء استخدام البرنامج المساعد UPNP من استغلال آخر لوكالة الأمن القومي مسرب يسمى EternalSilence . ومع ذلك ، بدلاً من استخدام رمز EternalSilence الفعلي ، قاموا بتطوير إصدار خاص بهم.
لا يزال الباحثون في مجال الأمن يحاولون معرفة كيف يقوم طاقم Plurox بنشر البرامج الضارة لاختطاف شبكات أكبر. لمزيد من المعلومات حول ذلك ، يمكنك الرجوع إلى مدونة SecureList الخاصة بـ Kaspersky .
اقرأ أيضًا: يتم استغلال استغلال الصفر الصفري في Firefox بواسطة المتسللين ؛ تحديث الان!
تعليقات
إرسال تعليق