درب‌پشتی جدید ویندوز به نام CowerSnail شناسایی شده است که به بدافزار لینوکسی شل‌بایند سمباکرای مرتبط است.

به گزارش واحد متخصصین سایبربان، محققان امنیتی کسپرسکی درب‌پشتی (Backdoor) جدیدی به نام CowerSnail را شناسایی کرده‌اند که با بدافزار اخیراً کشف شده شل‌بایند سمباکرای (SHELLBIND SambaCry) در ارتباط است.

هدف حمله بدافزار شل‌بایند سرورهای ذخیره داده (NAS) بوده و با استفاده از آسیب‌پذیری سمبا (Samba) این حمله را پیاده‌سازی می‌کرد. این بدافزار به نامEthernalRed نیز شناخته می‌شود. شل‌بایند با استفاده از بخش به اشتراک گذاشته شده (Share)، کدهای مخرب خود را در سامانه‌های متصل به شبکه اجرا می‌کند.

بدافزار شل‌بایند و CowerSnail دارای سرور مدیریت مرکزی (C&C) مشترک به آدرس cl.ezreal.space:20480 هستند که نشان از توسعه‌دهندگان یکسان است. بدافزار CowerSnail با استفاده از چهارچوب (Framework) کیو.تی (Qt) توسعه یافته است؛ این طراحی به دلیل جابه‌جایی سریع از سامانه لینوکسی به ویندوزی انتخاب شده است. البته استفاده از کیو.تی باعث حجیم‌تر شدن فایل نهایی بدافزار نیز می‌شود که از معایب آن است. گروه هکری توسعه‌دهنده شل‌بایند از چهارچوب کیو.تی استفاده کرده‌اند تا بتوانند ساده‌تر بدافزار لینوکسی خود را در سامانه‌های لینوکسی نیز اجرا کنند.

 

 

درب‌پشتی CowerSnail از ویژگی‌های معمول درب‌های پشتی استفاده می‌کند؛ اطلاعات مهم درباره سامانه قربانی از جمله زمان، نوع سیستم‌عامل، اطلاعات شبکه و معماری پردازنده را گردآوری می‌کند. این بدافزار اولویت پروسه و نخ (Thread) خود را با توجه به قطعه کد زیر ارتقاء می‌دهد، سپس با استفاده از IRCبا سرور مدیریت مرکزی ارتباط برقرار می‌کند.

 

 

درب‌پشتی CowerSnail می‌تواند خود را به‌عنوان سرویس بر روی سامانه قربانی نصب کرده و کدهای مخرب خود را اجرا کرده و به‌روزرسانی نیز دریافت کند.