Si chiama Plurox ed è il primogenito di una nuova famiglia di malware dotato delle caratteristiche malevoli tipico delle backdoor, dei worm e dei cryptominer.
Scoperto dai ricercatori Kaspersky e ancora in fase di sviluppo, il nuovo malware può consentire ad un attaccante remoto di accedere facilmente alle reti aziendali prese di mira, infettare tutti i PC connessi ed espandersi rapidamente ad altre LAN connesse grazie alle sue caratteristiche wormable che lo rendono simile al ben noto WannaCry, ed infine sfruttare le risorse hardware delle macchine colpite per estrarre criptovalute.
La pericolosità di Plurox sta proprio nella sua capacità di utilizzare queste sue tre pericolose funzionalità contemporaneamente. Un malware modulare che, giusto per non farsi mancare nulla, potrebbe essere utilizzato anche per scaricare altro codice malevolo e installare ulteriori malware sulle macchine infette e nelle reti locali compromesse.
Plurox è scritto in linguaggio C e il suo codice malevolo è stato compilato con Mingw GCC. I ricercatori Kaspersky hanno inoltre assegnato la firma virale Backdoor.Win32.Plurox al malware.
Indice degli argomenti
Plurox: i dettagli tecnici del malware
Il “cuore pulsante” del malware è costituito da un componente utilizzato per consentire ai singoli bot (cioè ai computer già infettati da Plurox) di comunicare con il server di comando e controllo (C&C) e scaricare alcuni plugin che integrano le funzionalità di base del suo codice malevolo.
Plugin che vengono scaricati da Plurox utilizzando due distinte sottoreti di comunicazioni con il server C&C: la prima dedicata esclusivamente alla gestione del modulo cryptominer del malware, la seconda per scaricare altri plugin e altro codice malevolo.
In particolare, i ricercatori di sicurezza dei Kaspersky Lab sono riusciti ad isolare otto plugin dedicati al mining delle criptovalute:
- auto_proc
- auto_cuda
- auto_miner
- auto_opencl_amd
- auto_gpu_intel
- auto_gpu_nvidia
- auto_gpu_cuda
- auto_gpu_amd
Ogni singolo plugin serve per caricare le istruzioni corrette per il cryptomining a seconda della configurazione hardware CPU/GPU installata sul computer target: una tecnica molto sofisticata che, di fatto, consente al malware Plurox di estrarre criptomonete praticamente su qualsiasi tipo di macchina infetta.
Oltre a questi otto, sono stati isolati anche un plugin UPnP (Universal Plug and Play) e uno SMB (Server Message Block).
Il plugin SMB, il cui scopo è quello di scansionare le reti locali e consentire poi a Plurox di diffondersi alle postazioni di lavoro vulnerabili sfruttando le condivisioni di file, stampanti e porte seriali, sarebbe in realtà una nuova versione pacchettizzata del famigerato exploit EternalBlue creato dalla National Security Agency (NSA) e reso pubblico il 14 aprile del 2017 dal gruppo hacker The Shadow Brokers, per poi essere sfruttato il mese successivo da altri criminal hacker per realizzare il distruttivo attacco informatico compiuto mediante il ransomware WannaCry.
Il plugin UPnP è, però, quello che ha attirato maggiormente le attenzioni dei ricercatori Kaspersky. Sfruttandolo, infatti, i criminal hacker potrebbero essere in grado di creare delle regole di port forwarding sulla rete locale di un computer infetto allo scopo di realizzare un tunnel nelle reti aziendali utile a bypassare eventuali controlli di firewall e altre soluzioni di sicurezza.
L’altra curiosità del plugin UPnP è il suo codice malevole molto simile a quello dell’altro exploit EternalSilence trapelato dai documenti riservati della NSA americana.
I consigli per proteggersi dal malware modulare
Da quanto visto finora, sono due gli aspetti tecnici di questo malware secondo l’analisi di Marco Rizzi, Information e Cyber Security Advisor presso P4I – Partners4Innovation: “Il primo relativo agli impatti sulle prestazioni dei sistemi infetti. Essendo fondamentalmente un miner di cryptovalute, le risorse di sistema disponibili potrebbero ridursi e di conseguenza provocare disservizi sui sistemi in produzione. L’aspetto più preoccupante, però, è l’altro: il malware apre una backdoor per l’accesso ai sistemi per finalità e usi più vari e imprevedibili”.
“Le buone notizie”, continua l’analista, “è che i principali antivirus rilevano il malware, se aggiornati. Quindi, ancora una volta mantenere aggiornati gli antivirus continua a essere sempre e comunque una buona contromisura”.
“L’altro consiglio è invece quello di configurare i firewall locali e di frontiera per mantenere attive le sole porte di comunicazione necessarie al funzionamento degli applicativi. Questo permette di limitare/inibire le strade di comunicazione e controllo della backdoor”.
Secondo Diego Gagliardo, Chief Operating Officer di Endian, “questa tipologia di malware dimostra come sia importante mantenere una rete segmentata per rallentare il più possibile la diffusione delle minacce che ancora gli antivirus non sanno riconoscere. È buona consuetudine abilitare la connessione delle workstation unicamente a servizi/siti “trusted”, chiudendo tutto il resto, magari con una combinazione di outgoing firewall e filtro dei contenuti. Se non permettiamo al malware di connettersi ai server C&C per scaricare i propri plugin, limitiamo di molto la sua azione e gli eventuali danni”.
Al momento i ricercatori dei Kaspersky Labs non sono ancora riusciti ad individuare un possibile vettore di attacco del malware Plurox.
Il consiglio per difendersi è dunque quello di installare un buon antivirus e tenerlo sempre aggiornato con le ultime firme virali. Nel frattempo, gli amministratori di sistema possono fare riferimento a questi indicatori di compromissione (IoC):
C&C servers
- 178.21[.]11.90
- 185.146[.]157.143
- 37.140[.]199.65
- 194.58[.]92.63
- obuhov2k[.]beget[.]tech
- webdynamicname[.]com
- 37.46[.]131.250
- 188.93[.]210.42
E alle firme hash MD5 usate per verificare l’integrità dei vari moduli che compongono il malware Plurox:
Main body
- 59523DD8F5CE128B68EA44ED2EDD5FCA
- C4A74D79030336A0C3CF60DE2CFAE9E9
- CECFD6BCFDD56B5CC1C129740EA2C524
- BE591AA0E48E496B781004D0E833E261
Trickster Worm module
- f233dd609821c896a4cb342cf0afe7b2
auto_proc32
- 2e55ae88c67b1d871049af022cc22aac
auto_proc64
- b2d76d715a81862db84f216112fb6930
auto_opencl_amd32
- a24fd434ffc7d3157272189753118fbf
auto_opencl_amd64
- 117f978f07a658bce0b5751617e9d465
auto_miner32
- 768857d6792ee7be1e1c5b60636501e5
auto_miner64
- e8aed94c43c8c6f8218e0f2e9b57f083
upnp32
- 8cf5c72217c1bb48902da2c83c9ccd4e
upnp64
- b2824d2007c5a1077856ae6d8192f523
smb32
- 6915dd5186c65891503f90e91d8716c6
smb64
- cd68adc0fbd78117521b7995570333b2
