首页保安BlackWater恶意软件:伪装成带有冠状病毒信息的文件

BlackWater恶意软件:伪装成带有冠状病毒信息的文件

一种新的名为BlackWater的恶意软件冒充有关COVID-19冠状病毒的信息,同时滥用Cloudflare Workers作为恶意软件服务器命令和控制(C2)的接口。

Cloudflare Workers是直接从Cloudflare边缘运行的JavaScript程序,因此它们可以与远程Web客户端进行交互。 这些工作程序可用于修改Cloudflare背后的网站输出,禁用Cloudflare甚至作为独立程序工作。 JavaScript的.

例如,可以创建Cloudflare Worker,以在Web服务器输出中搜索文本并替换其中的单词,或者仅导出 数据 回到网络客户端。

BlackWater使用Cloudflare Workers作为C2接口

最近,MalwareHunterTeam发现了一个分布式RAR文件,该文件伪装成称为“重要-COVID-19.rar”的冠状病毒(COVID-19)信息文件。

目前尚不知道文件的分发方式,但很可能是通过网络钓鱼消息来完成的(钓鱼).

在此RAR文件中,有一个名为“重要-COVID-19.rar”的文件,该文件使用Word图标。 不幸的是,由于Microsoft隐藏了它们 文件扩展名 默认情况下,许多人只会将该文件作为文档查看 Word 而不是可执行文件,因此更有可能将其打开。

当受害者正在阅读COVID-19文档时,恶意软件还会提取文件%UserProfile%\ AppData \ Local \ Library SQL \ bin \版本5.0 \ sqltuner.exe。

在这里,事情变得有些有趣,因为该恶意软件使用命令行启动,该命令行导致BlackWater恶意软件连接到充当命令和控制服务器的Cloudflare Worker。

如果直接访问此网站,用户将看到以下“ HellCat”图像。

SentinelLabs负责人Vitali Kremez告诉BleepingComputer,这名工人是 前端 一个充当命令和控制服务器的ReactJS Strapi应用程序。

Kremez表示,此C2将使用编码的JSON字符串响应,该字符串可能包含当恶意软件与正确的身份验证参数相关联时要运行的命令。

当被问及为什么他们使用Cloudflare Worker而不是与C2在线连接时,Kremez认为这对他来说更加困难 软件 安全性可阻止IP流量,而不会阻止所有Cloudflare Worker基础架构。

尽管仍然有很多关于这种新恶意软件及其运行方式的知识,但它确实提供了一种有趣的方式 恶意软件开发人员 使用法律基础设施 以新的方式。

使用它 云工作者,恶意软件命令和控制服务器将变得更加难以阻止,并且可以根据需要轻松扩展恶意软件。

实时新闻