COWERSNAIL BACKDOOR O PUERTA TRASERA

CowerSnail es un nuevo troyano de puerta trasera de orientación a ordenadores Windows

Este malware parece ser el trabajo del mismo grupo que la vulnerabilidad SambaCry que instalo mineros criptomoneda en servidores Linux el mes de junio.

Codewise, CowerSnail es una cepa inusual, siendo codificado en Qt, un marco de codificación para el desarrollo de aplicaciones a través del OS. Qt software malicioso no es nada nuevo o innovador, pero este tipo de malware es algo raro.

De acuerdo con el investigador de Kaspersky Sergey Yunakovsky, el malware CowerSnail sólo contiene la funcionalidad básica, y por el momento sólo se puede utilizar como puerta trasera para los huéspedes infectados.

Su característica principal es la capacidad de ejecutar comandos por lotes en los hosts infectados. CowerSnail recibe estos comandos desde un servidor de comando y control (C & C).

CowerSnail desarrollado por los autores del EternalRed

Este servidor C & C (cl.ezreal.space:20480) es el mismo que se utiliza para entregar el minero criptomoneda EternalRed a los servidores que ejecutan Linux instalaciones anticuadas Samba, vulnerables a la vulnerabilidad SambaCry.

"SambaCry fue diseñado para sistemas basados en * nix. CowerSnail, por su parte, fue escrito usando Qt, lo que probablemente significa que el autor no quiero entrar en los detalles de la API de Windows, y prefirió transferir el código * nix 'tal cual' ," explica Yunakovsky.

"Este hecho, junto con la misma C & C siendo utilizado por ambos programas, sugiere fuertemente que CowerSnail fue creado por el mismo grupo que creó SambaCry. Después de crear dos troyanos separados, cada uno diseñado para una plataforma específica y cada uno con sus propias peculiaridades, es muy probable que este grupo producirá más malware en el futuro ", sugiere el experto de Kaspersky.

Otras características de CowerSnail

Además de su funcionalidad de puerta trasera, Yunakovsky dice CowerSnail también puede realizar las siguientes acciones:
  • Recibe actualización (LocalUpdate)
  • Ejecutar cualquier comando (BatchCommand)
  • Instalar CowerSnail como un servicio, utilizando la interfaz de línea de comandos de control de servicios (Instalar)
  • Desinstalación CowerSnail de la lista de servicios (desinstalación)
  • Reunir información del sistema: Marca de tiempo, Instalado tipo de sistema operativo (por ejemplo, Windows), nombre del sistema operativo, nombre de host, Información sobre las interfaces de red, AYUDA, arquitectura de procesador Core, Información sobre la memoria física

Por último, pero no menos importante, Yunakovsky también vio pistas en el tráfico del servidor de CowerSnail C & C para sugerir que su autor está trabajando para añadir soporte para el protocolo IRC.

Desarrolladores de malware a menudo usan el protocolo IRC para controlar los huéspedes infectados con tan sólo escribir un comando en un canal de IRC. comunicaciones de C & C por lo general, a base de IRC se emplean para las redes de bots, en lugar de troyanos de puerta trasera.


Fecha actualización el 2017-7-26. Fecha publicación el . Categoría: Kaspersky. Autor: Mapa del sitio Fuente: bleepingcomputer
CowerSnail backdoor