早在6月份,网络安全研究人员就曾揭露,骇客会利用SambaCry漏洞开采虚拟货币Monero。而7月25日研究人员又发现同个骇客这次不攻击Linux OS的设备,转而针对Windows系统设备开发出新型恶意程式CowerSnail。
SambaCry漏洞攻击者开发新木马
CowerSnail可在受感染的电脑上建立后门程序,窃取设备数据,包括OS类型、OS名称、设备名称、网络交互信息、应用二进制接口(application binary interface,ABI)、内存和处理器信息。
安全研究人员Sergey Yunakovsky指出,CowerSnail是用跨平台应用程式架构Qt来设计,与先前攻击SambaCry漏洞的挖矿软件,都是使用相同开发架构来编写,甚至C&C服务器也用同一台,所以研究人员认定两个恶意程序为相同的作者。
骇客使用Windows的服务控制管理器StartServiceCtrlDispatcher的API作为C&C服务器,并且利用IRC(网络中继聊天室)协议来下达指令,如接收被黑电脑的最新系统升级(LocalUpdate)、执行任何命令(BatchCommand)、安装CowerSnail(Install)和移除CowerSnail(Uninstall)等。一般而言,骇客会利用IRC来控制僵尸设备,但很少用在执行后门程序的指令上。
研究人员认为,该骇客用Qt编写SambaCry攻击程序,这次仍使用Qt编写CowerSnail,显示该骇客未来想要利用此种方式,继续开发出攻击不同OS平台装置的恶意软件。
标签:防火墙
