พบการโจมตีของมัลแวร์ StealthWorker บน Windows และ Linux

Rommel Joven เจ้าหน้าที่ของ FortiGuard Lab ได้พบการโจมตีของมัลแวร์ StealthWorkerซึ่งมีลักษณะการโจมตีแบบ Golang หรือที่รู้จักกันในชื่อ GoBrut มัลแวร์ StealthWorker นั้นสามารถใช้ประโยชน์จากช่องโหว่เพื่อเข้าสู่ระบบของ Magento, phpMyAdmin, และ cPanel Content Management Systems (CMSs) ได้ ทำให้แฮกเกอร์สามารถเข้าควบคุมเว็บไซต์ได้

เมื่อมัลแวร์ฝังตัวอยู่บนเครื่องเป้าหมายแล้วจะสร้าง scheduled tasks บน Windows และ Linux โดยคัดลอกตัวมันเองลงในโฟลเดอร์ Startup หรือโฟลเดอร์ /tmp จากนั้นจะทำการตั้งค่า crontab (คำสั่งที่จะทำงานตามเวลาที่กำหนด) ภาพด้านล่างจะเป็นเป้าหมายของมัลแวร์


ที่มาภาพ: Blepping computer

เมื่อดำเนินการทุกอย่างเสร็จสิ้นแล้ว มันจะเปลี่ยนให้เครื่องของเหยื่อเป็นเครื่อง zombie พร้อมที่แพร่เชื้อต่อไป จากนั้นมัลแวร์จะแจ้งไปที่เซิร์ฟเวอร์ command-and-control (C2) ว่าพร้อมที่จะทำงานแล้ว ดังภาพ
นอกเหนือจากความสามารถในการกระจายมัลแวร์แล้ว StealthWorker ยังสามารถพัฒนาตัวมันเองได้อีกด้วย แฮกเกอร์มันจะใช้มัลแวร์นี้ตรวจสอบว่ามีบริการใดบ้างที่กำลังทำงานอยู่บนเซิร์ฟเวอร์ จากนั้นก็จะทำการโจมตี รายละเอียด ดังตารางที่แสดงด้านล่าง


ที่มาภาพ: Blepping computer

สำหรับรายละเอียดเกี่ยวกับการโจมตีของมัลแวร์นี้ สามารถดูได้ที่ THREAT RESEARCH: New Stealth Worker Campaign Creates a Multi-platform Army of Brute Forcers

ที่มาภาพ: Blepping computer