Суббота, 26 сентября, 14:24
дома безопасность BlackWater Malware: притворяется файлом с информацией о коронавирусе

BlackWater Malware: притворяется файлом с информацией о коронавирусе

Новое вредоносное ПО под названием BlackWater притворяется информацией о коронавирусе COVID-19, одновременно злоупотребляя Cloudflare Workers в качестве интерфейса для управления и контроля вредоносного сервера (C2).

Cloudflare Workers - это JavaScript-программы, которые запускаются непосредственно из Cloudflare, поэтому они могут взаимодействовать с удаленными веб-клиентами. Эти рабочие могут быть использованы для изменения вывода веб-сайта за Cloudflare, отключения Cloudflare или даже для работы в качестве автономных программ. JavaScript.

Например, Cloudflare Worker может быть создан для поиска текста в выводе веб-сервера и замены слов в нем или просто экспорта данные вернуться к веб-клиенту.

BlackWater использует Cloudflare Workers в качестве интерфейса C2

Недавно MalwareHunterTeam обнаружил распределенный RAR-файл, представляющий собой файл с информацией о короновирусном коронавирусе (COVID-19), который называется «Важно - COVID-19.rar».

Способ распространения файла в настоящее время неизвестен, но, вероятно, это происходит с помощью фишинговых писем (фишинг).

Внутри этого файла RAR находится файл с именем «Важно - COVID-19.rar», в котором используется значок Word. К сожалению, как Microsoft скрывает их расширения файлов по умолчанию многие просто рассматривают этот файл как документ Word и не как исполняемый файл, и с большей вероятностью его откроют.

Пока жертвы читают документ COVID-19, вредоносная программа также извлекает файл% UserProfile% \ AppData \ Local \ Library SQL \ bin \ version 5.0 \ sqltuner.exe.

Именно здесь все становится немного интереснее, когда вредоносное ПО запускается с использованием командной строки, которая заставляет вредоносное ПО BlackWater подключаться к Cloudflare Worker, который действует как сервер управления и контроля.

Если вы посетите этот веб-сайт напрямую, пользователи увидят следующее изображение «HellCat».

Руководитель SentinelLabs Виталий Кремез сказал BleepingComputer, что этот работник является передняя часть приложение ReactJS Strapi, которое выступает в качестве сервера управления и контроля.

Kremez заявил, что этот C2 будет отвечать кодированной строкой JSON, которая может содержать команды, запускаемые, когда вредоносное ПО связано с ним с правильными параметрами аутентификации.

Когда его спросили, почему они используют Cloudflare Worker вместо того, чтобы соединяться онлайн с C2, Кремез подумал, что ему труднее программного обеспечения. безопасность для блокировки IP-трафика без блокировки всей инфраструктуры Cloudflare Worker.

Хотя еще многое предстоит узнать об этой новой вредоносной программе и о том, как она работает, она дает интересный взгляд на то, как разработчики вредоносного ПО использовать правовую инфраструктуру облако по-новому.

Используя это CloudWorkersсерверы управления и контроля вредоносных программ становятся все труднее блокировать, а вредоносные программы можно легко масштабировать по мере необходимости.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ

Как вы можете контролировать производительность вашего Chromebook?

Часто пользователи задаются вопросом о производительности своего компьютера и хотели бы взглянуть на систему ...

Как обнаружить скрытые камеры наблюдения с помощью телефона

Во время отпуска или командировок мы вынуждены останавливаться в отелях или Airbnb ....

Как играть в скрытую игру на Android 11

Google обычно включает так называемые «пасхальные яйца» в каждую новую версию Android, которая выпускается. А Android 11 нет ...
00: 01: 49

Кольцо: новое устройство Amazon - дрон с камерой наблюдения

Amazon готова выпустить новую камеру видеонаблюдения Ring, установленную на летающем дроне.

Разработчики программного обеспечения были очень продуктивными во время пандемии

Согласно новому исследованию, производительность большинства команд по разработке программного обеспечения увеличилась во время кризиса пандемии Covid-19. Но если ты ...

Cisco: 25 серьезных дефектов в программном обеспечении IOS и IOS XE

Cisco предупреждает клиентов, использующих программное обеспечение IOS и ISO XE, о необходимости применения обновлений для 25 уязвимостей высокого уровня безопасности ...

Новая функция Microsoft Edge снизит использование памяти и процессора.

Чтобы улучшить использование памяти и ЦП на Edge, Microsoft разрабатывает новую функцию под названием «Спящие вкладки».

Microsoft: удалено 18 приложений Azure AD, контролируемых китайскими хакерами

Вчера Microsoft объявила об удалении 18 приложений Azure Active Directory с портала Azure, которые были разработаны и злонамеренно использовались ...

Возможные штрафы для руководителей Google, Facebook и Twitter

Комитет Сената по торговле попросил руководителей Google, Facebook и Twitter дать показания 1 октября.

Национальный банк Австралии платит вам за взлом его систем

Национальный банк Австралии (NAB) запустил программу вознаграждения за ошибки, предлагая деньги исследователям безопасности, которые обнаружат неизвестные уязвимости ...