خلاصه: محققان شرکت کسپراسکی موفق به کشف بدافزار جدیدی شدهاند که ماشینهای ویندوزی را هدف قرار داده است. این بدافزار را گروه هکری پشت بدافزار لینوکسی SambaCry نوشتهاند. تولید دو بدافزار برای دو سیستمعامل مختلف نگرانیها در مورد این گروه هکری ناشناس را افزایش داده است.
ماه گذشته و پس از سر و صدای زیاد باجافزار WannaCry مشخص شد که یک آسیبپذیری مشابه روی سیستمعامل لینوکس وجود دارد. این آسیبپذیری که روی پروتکل اشتراک فایل Samba وجود داشت مانند همتای ویندوزی خود SambaCry نامگذاری شد. آسیبپذیری SambaCry اجازه اجرای کد از راه دور را به هکرها میدهد. هکرها از این آسیبپذیری به منظور استخراج ارز اینترنتی بیتکوین با استفاده از قربانیان خود بهره برد ه بودند.
گروه هکری پشت SambaCry اکنون دست به طراحی بک بدافزار با هدف ماشینهای ویندوزی زدهاند. این بدافزار که از نوع درب پشتی است بر اساس زبان QT بوده و همان بدافزاری که برای ماشینهای لینوکس مورد استفاده قرار میگرفت را دوباره کامپایل کردهند.
این بدافزار جدید که CowerSnail نام دارد توسط محققین آزمایشگاه کسپراسکی کشف شده و به عنوان Backdoor.Win32.CowerSnail شناخته میشود. این بدافزار یک درب پشتی با امکانات کامل است که به هکرها این اجازه میدهد که هر دستوری را روی سیستم قربانی اجرا کنند.
زمانی که این بدافزار سیستم را آلوده میکند، اولویت اجرای خود را بالا برده و با استفاده از پروتکل IRC اقدام به ارتباط با سرور کنترل و فرمان خود میکند. این بدافزار امکان جمعآوری اطلاعات سیستم قربانی، دریافت بهروزرسانی، اجرای دستور ونصب و پاک کردن خود به عنوان یک سرویس است.
با توجه به اینکه CownerSnail و SambaCry از یک سرور کنترل و فرمان استفاده میکنند میتوان هر دو را مرتبط با یک گروه هکری دانست. این مساله این نگرانی را نیز افزایش میدهد که گروه هکری که توانسته دو سیستمعامل مجزا را هدف قرار دهد ممکن است اهداف بزرگتری در سر داشته باشد.
با توجه به اینکه آسیبپذیری SambaCry بیش از یک ماه است که اعلام شده هنوز بسیاری از گروههای هکری از آن استفاده میکنند. هفته پیش هم خبری در مورد بدافزار ShellBind داشتیم که از این آسیبپذیری بهره میبرد. با توجه به اینکه این آسیبپذیری وصله شده است لازم است که کاربران هرچه سریعتر این بهروزرسانی لازم برای وصله این آسیبپذیری را دانلود و نصب نمایند.