Специалисты «Лаборатории Касперского» рассказали о новом модульном зловреде, доставляющем на зараженную машину майнеры и другую полезную нагрузку.

Бэкдор, получивший название Plurox, применяет эксплойт EternalBlue для взлома компьютеров под управлением Windows и распространения по локальной сети. Исходные коды некоторых плагинов вредоносной программы указывают на возможную связь ее авторов с создателями банкера Trickbot.

Как выяснили аналитики Kaspersky, попав на инфицированное устройство, Plurox связывается с восемью командными серверами, разделенными на две группы. Адреса хостов, а также номера TCP-портов, через которые осуществляется коммуникация, жестко прописаны в коде зловреда. Две подсети центров управления отличаются составом плагинов, которые они передают на зараженный компьютер.

В арсенале Plurox семь команд, включая полную остановку зловреда и удаление следов его присутствия в системе. Авторы программы применяют относительно простое XOR-шифрование передаваемых пакетов, а загрузка и запуск модулей осуществляются при помощи механизма WinAPI CreateProcess.

Атакующие используют несколько вариантов майнеров, оптимизированных под разные типы ЦП и графических чипсетов. Сначала Plurox собирает информацию о зараженной системе и отправляет ее на C&C-сервер, а в ответ получает плагин, соответствующий данной конфигурации оборудования.

Помимо майнеров, эксперты «Лаборатории Касперского» обнаружили еще два вредоносных модуля, используемых бэкдором. UPnP-плагин атакует роутеры, пытаясь подобрать IP-адрес из полученного от сервера диапазона, и проверяет доступность портов 135 и 445. В случае успеха зловред предположительно перебирает доступные эксплойты для атаки на локальные компьютеры и закрепляется в системе.

Второй модуль применяется для распространения Plurox в скомпрометированной сети. Плагин использует эксплойт EternalBlue, а его исходный код в значительной степени совпадает с аналогичной подсистемой банкера TrickBot. Как подчеркивают специалисты «Лаборатории Касперского», текст вредоносных программ позволяет сделать вывод, что они собраны из одних источников, а значит, их авторы могут быть связаны между собой.

В феврале этого года создатели TrickBot добавили в него функцию кражи логинов и паролей для систем удаленного доступа. Под угрозой оказались клиенты RDP, VNC и PuTTY, которые взламывались через объекты типа vnc.lnk, записи реестра и API-интерфейс CredEnumerateA. Помимо этого, банкер искал на скомпрометированном устройстве данные банковских карт и сведения о криптокошельках жертвы.

Категории: Аналитика, Вредоносные программы, Главное, Уязвимости