Четверг, 21 января, 17:55
дома безопасность BlackWater Malware: притворяется файлом с информацией о коронавирусе

BlackWater Malware: притворяется файлом с информацией о коронавирусе

Новое вредоносное ПО под названием BlackWater притворяется информацией о коронавирусе COVID-19, одновременно злоупотребляя Cloudflare Workers в качестве интерфейса для управления и контроля вредоносного сервера (C2).

Cloudflare Workers - это JavaScript-программы, которые запускаются непосредственно из Cloudflare, поэтому они могут взаимодействовать с удаленными веб-клиентами. Эти рабочие могут быть использованы для изменения вывода веб-сайта за Cloudflare, отключения Cloudflare или даже для работы в качестве автономных программ. JavaScript.

Например, Cloudflare Worker может быть создан для поиска текста в выводе веб-сервера и замены слов в нем или просто экспорта данные вернуться к веб-клиенту.

BlackWater использует Cloudflare Workers в качестве интерфейса C2

Команда MalwareHunterTeam недавно обнаружила распределенный файл RAR, который выдавал себя за информационный файл о коровавирусе (COVID-19) под названием «Важно - COVID-19.rar».

В настоящее время неизвестно, как файл распространяется, но, скорее всего, это делается с помощью «фишинговых» сообщений (фишинг).

Внутри этого RAR-файла есть файл с названием «Важно - COVID-19.rar», в котором используется значок Word. К сожалению, поскольку Microsoft их скрывает расширения файлов по умолчанию многие просто рассматривают этот файл как документ Word и не как исполняемый файл, и с большей вероятностью его откроют.

Пока жертвы читают документ COVID-19, вредоносная программа также извлекает файл% UserProfile% \ AppData \ Local \ Library SQL \ bin \ version 5.0 \ sqltuner.exe.

Именно здесь все становится немного интереснее, когда вредоносное ПО запускается с использованием командной строки, которая заставляет вредоносное ПО BlackWater подключаться к Cloudflare Worker, который действует как сервер управления и контроля.

Если вы посетите этот сайт напрямую, пользователи увидят следующее изображение «HellCat».

Руководитель SentinelLabs Виталий Кремез сказал BleepingComputer, что этот работник является Передний конец приложение ReactJS Strapi, которое выступает в качестве сервера управления и контроля.

Kremez заявил, что этот C2 будет отвечать кодированной строкой JSON, которая может содержать команды, запускаемые, когда вредоносное ПО связано с ним с правильными параметрами аутентификации.

Когда его спросили, почему они используют Cloudflare Worker вместо того, чтобы соединяться онлайн с C2, Кремез подумал, что ему труднее программного обеспечения. безопасность для блокировки IP-трафика без блокировки всей инфраструктуры Cloudflare Worker.

Хотя еще многое предстоит узнать об этой новой вредоносной программе и о том, как она работает, она дает интересный взгляд на то, как разработчики вредоносного ПО использовать правовую инфраструктуру облако по-новому.

Используя это CloudWorkersсерверы управления и контроля вредоносных программ становятся все труднее блокировать, а вредоносные программы можно легко масштабировать по мере необходимости.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ

00: 02: 35

Билл Гейтс: Будет ли он работать с Байденом над COVID-19 / изменением климата?

Соучредитель Microsoft Билл Гейтс сказал в Твиттере, что с нетерпением ждет возможности поработать с новым президентом США Джо Байденом и ...

Какие слухи ходят об iPhone 13?

Apple iPhone 13 будет иметь переработанную систему Face ID, которая будет иметь меньшую выемку в верхней части экрана, ...

Байден: Как политический переход в США был отражен в социальных сетях?

Когда Джо Байден был приведен к присяге в качестве президента Соединенных Штатов, этот важный политический переход был запечатлен в популярных социальных сетях. 20 января ...

CentOS перестает поддерживаться, но RHEL предлагается бесплатно

В прошлом месяце Red Hat вызвала большое беспокойство в мире Linux, объявив о прекращении поддержки CentOS Linux.

Пароли сотрудников Microsoft Office 365 просочились в сеть!

Было обнаружено, что новая крупномасштабная фишинговая кампания, нацеленная на глобальные организации, позволяет обойти Microsoft Office 365 Advanced Threat Protection (ATP) и ...

COSMOTE и Microsoft предоставляют новые облачные решения для бизнеса

COSMOTE и Microsoft расширяют свое сотрудничество, предлагая еще более продвинутые и высококачественные облачные решения для больших и малых ...

Кибератаки в Восточной Европе растут!

Кибератаки, которые произошли во многих правительственных учреждениях и компаниях США в последние месяцы, вызвали обеспокоенность в развивающихся странах ...

Tesla снижает цены на Model 3 в Европе

Tesla снизила цены на Model 3 на многих европейских рынках, что частично может быть связано с ...

Пользователи iOS, Android и XBox под прицелом новой рекламной кампании

Недавно была обнаружена новая кампания вредоносной рекламы, нацеленная на пользователей мобильных и других подключенных устройств и использующая эффективные ...

Microsoft: «нулевое доверие» защищает от изощренных хакерских атак

Согласно Microsoft, методы, использованные хакерами SolarWinds, были сложными, но распространенными и предотвратимыми. Чтобы избежать атак в будущем ...