بدافزار Plurox میتواند خود را در یک شبکه محلی از طریق اکسپلویتها گسترش دهد، دسترسی به شبکههای مورد حمله را فراهم و کاوشگر رمزارز و دیگر بدافزارها را روی رایانههای قربانی نصب کند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران کسپرسکی در فوریه سال جاری، یک back door جدید مشاهده کردند که دارای چند ویژگی مخرب است. این بدافزار میتواند خود را در یک شبکه محلی از طریق اکسپلویتها گسترش دهد، دسترسی به شبکههای مورد حمله را فراهم و کاوشگر رمزارز و دیگر بدافزارها را روی رایانههای قربانی نصب کند.
این back door که Plurox نام دارد یک بدافزار مدولار است و قابلیتهای آن به کمک افزونههای دیگر قابل گسترش است. Plurox به زبان C نوشته شده و باMingw GCC کامپایل و با توجه به شرایط فعلی آن، این بدافزار در مرحله تست و آزمون کشف شده است.
Plurox از پروتکل TCP برای ارتباط با سرور فرمان و کنترل (C&C) استفاده میکند؛ افزونهها از این طریق بارگذاری شده و بهطور مستقیم از طریق دو پورت متفاوت به Plurox متصل میشوند. در هنگام نظارت بر فعالیت بدافزار، دو زیرشاخه کشف شدهاست که در یکی، Plurox، تنها کاوشگر رمزارز را از سرورC&C دریافت میکند، در حالی که در دیگری، علاوهبر کاوشگر، چندین افزونه نیز وجود دارد. بدافزار Plurox تقریبا بدون رمزگذاری است و فقط چند کلید چهار بایتی برای رمزگذاری معمول XOR استفادهمیشود.
نسخه Plurox مورد بررسی در مجموع از هفت دستور پشتیبانی میکند:
• دانلود و اجرای فایلها با استفاده از دستور WinAPI CreateProcess
• بهروزرسانی بات
• حذف و توقف
• دانلود و اجرای افزونه
• توقف افزونه
• بهروزرسانی افزونه
• توقف و حذف افزونه
یکی از افزونهها، قابلیت کاوش رمزارز در Plurox است. این بدافزار میتواند با توجه به پیکربندی خاص رایانه قربانی یکی از استخراجکنندههای رمزارز را بر روی آن نصب کند. بات بسته اطلاعات پیکربندی سیستم را به سرور C&C ارسال میکند و در پاسخ اطلاعات افزونهای را که باید دانلود کند، دریافت میکند.
افزونه دیگر این بدافزار UPnP است. این ماژول مسئول بررسی وجود اکسپلویتها در سرویسهای در حال اجرا در سیستم است تا مهاجم بتواند در سیستم، محل نفوذ و روش ثبات وضعیت خود را پیدا کند. افزونه بعدی در این بدافزار ماژول SMB است که این ماژول مسئولیت گسترش بدافزار را در شبکه با استفاده از اکسپلویت EternalBlue دارد.