Киберпреступники, устанавливающие майнеры на Linux-серверы, используя при этом уязвимость Samba (EternalRed, SambaCry), теперь переключились и на Windows-системы, разработав специальный бэкдор.
Новый вредонос был обнаружен Лабораторией Касперского, детектируется как Backdoor.Win32.CowerSnail. Бэкдор использует тот же командный центр для связи (C&C), что и зловред для Linux, а именно cl.ezreal.space:20480.
CowerSnail был создан с использованием Qt, кроссплатформенного фреймворка для разработки программного обеспечения. Эксперты полагают, что его авторы, возможно, использовали Qt для прямой передачи кода Unix вместо того, чтобы учиться использовать Windows API. С другой стороны, несмотря на то, что он упрощает передачу кода между платформами, Qt значительно увеличивает размер конечного файла.
Сразу после заражения системы вредонос повышает приоритет своего процесса и начинает связываться со своим командным сервером по протоколу IRC.
CowerSnail может собирать информацию на скомпрометированном компьютере, получать обновления, выполнять команды, устанавливать или деинсталлировать себя в качестве службы.
После сбора системной информации и отправки ее на удаленный сервер вредоносная программа обменивается пингом с сервером и ждет команд от злоумышленников.
«Логично предположить, что после создания двух троянских программ, каждая из которых предназначена для конкретной платформы, и каждая со своими особенностями, эта группа хакеров будет создавать еще больше вредоносов» - Сергей Юнаковский, сотрудник Лаборатории Каспесркого.
