Новое вредоносное ПО под названием BlackWater притворяется информацией о коронавирусе COVID-19, одновременно злоупотребляя Cloudflare Workers в качестве интерфейса для управления и контроля вредоносного сервера (C2).
Cloudflare Workers - это JavaScript-программы, которые запускаются непосредственно из Cloudflare, поэтому они могут взаимодействовать с удаленными веб-клиентами. Эти рабочие могут быть использованы для изменения вывода веб-сайта за Cloudflare, отключения Cloudflare или даже для работы в качестве автономных программ. JavaScript.
Например, Cloudflare Worker может быть создан для поиска текста в выводе веб-сервера и замены слов в нем или просто экспорта данные вернуться к веб-клиенту.
BlackWater использует Cloudflare Workers в качестве интерфейса C2
Команда MalwareHunterTeam недавно обнаружила распределенный файл RAR, который выдавал себя за информационный файл о коровавирусе (COVID-19) под названием «Важно - COVID-19.rar».
В настоящее время неизвестно, как файл распространяется, но, скорее всего, это делается с помощью «фишинговых» сообщений (фишинг).
Внутри этого RAR-файла есть файл с названием «Важно - COVID-19.rar», в котором используется значок Word. К сожалению, поскольку Microsoft их скрывает расширения файлов по умолчанию многие просто рассматривают этот файл как документ Word и не как исполняемый файл, и с большей вероятностью его откроют.
Пока жертвы читают документ COVID-19, вредоносная программа также извлекает файл% UserProfile% \ AppData \ Local \ Library SQL \ bin \ version 5.0 \ sqltuner.exe.
Именно здесь все становится немного интереснее, когда вредоносное ПО запускается с использованием командной строки, которая заставляет вредоносное ПО BlackWater подключаться к Cloudflare Worker, который действует как сервер управления и контроля.
Если вы посетите этот сайт напрямую, пользователи увидят следующее изображение «HellCat».
Руководитель SentinelLabs Виталий Кремез сказал BleepingComputer, что этот работник является Передний конец приложение ReactJS Strapi, которое выступает в качестве сервера управления и контроля.
Kremez заявил, что этот C2 будет отвечать кодированной строкой JSON, которая может содержать команды, запускаемые, когда вредоносное ПО связано с ним с правильными параметрами аутентификации.
Когда его спросили, почему они используют Cloudflare Worker вместо того, чтобы соединяться онлайн с C2, Кремез подумал, что ему труднее программного обеспечения. безопасность для блокировки IP-трафика без блокировки всей инфраструктуры Cloudflare Worker.
Хотя еще многое предстоит узнать об этой новой вредоносной программе и о том, как она работает, она дает интересный взгляд на то, как разработчики вредоносного ПО использовать правовую инфраструктуру облако по-новому.
Используя это CloudWorkersсерверы управления и контроля вредоносных программ становятся все труднее блокировать, а вредоносные программы можно легко масштабировать по мере необходимости.