بر اساس تحلیل جدیدی که توسط Intezer منتشر شده، Trojan جدید تحت عنوان HTTPd که معمولا یک برنامهی مورد استفاده در سرورهای لینوکس است، معرفی میکند و حالا نسخه جدید بدافزاری است که با عنوان Stantinko شناخته شده و به یک هکر تعلق دارد.
محققان درباره Adware Botnet اینگونه شرح داده اند که با فریب کاربرانی که به دنبال نرم افزار Pirated هستند، عمل کرده و آنها را مجاب میکند تا برنامههای اجرایی مخربی که خودشان را به عنوان Torrent مخفی کردند، دانلود نمایند و افزونههای مخرب مرورگر که کارشان Ad Injection و Click Fraud است را نصب کنند.
این کمپین مخفی که بخش عظیمی از نیم میلیون Bot را کنترل میکند، ارتقای قابل توجهی در قالب ماژول Crypto-Mining دریافت کرده که هدف آن کسب سود از کامپیوترهای تحت کنترل خود است.
Stantinko یک بدافزار ویندوزی
اگرچه Stantinko به طور رسمی یک بدافزار ویندوز بوده است، اما گستردگی آن در Toolset برای هدف قرار دادن سیستم عامل لینوکس نیز مورد توجه واقع شد. بدین منظور این بدافزار با کمک ESET یک Linux Trojan Proxy را مشاهده میکند که از طریق باینریهای مخرب در سرورهای آلوده پیادهسازی شده بود.
آخرین تحقیقات Intezer بینش تازهای در مورد این پراکسی لینوکسی ارائه میدهد، به خصوص نسخه جدید 2.17 از همان بدافزار 1.2 به نام httpd همراه با یک نمونه از بدافزار که از روسیه بر VirusTotal آپلود شدهاست. در هنگام اجرا، httpd یک فایل تنظیم که در etc/pd.d/Proxy.conf قرار دارد و همراه با بدافزار فرستاده شده را تایید کرده و به دنبال آن یک سوکت و یک شنود ایجاد میکند، تا پذیرش اتصالات از چیزی که محققان باور دارند سیستمهای آلوده هستند محقق شود.
بیشتر بخوانید: مقابله با بدافزارها به کمک قابلیتهای Microsoft Defender ATP
یک درخواست HTTP Post از طرف یک Client آلوده، راه را برای انتقال پراکسی از طریق درخواست به سرور تحت کنترل مهاجم هموار میکند، سپس توسط یک Payload مناسب که از طریق پراکسی به Client فرستاده میشود، پاسخ میدهد.
درصورتیکه یک Client آلوده نشده درخواست HTTP Get را به سرور آلوده ارسال کند، یک تعیین مسیر HTTP 301 به یک URL از پیش تنظیم شده که در فایل پیکربندی مشخص شده است، مجددا ارسال میشود.
محققان Intezer با بیان اینکه نسخه جدید این بدافزار فقط به عنوان یک پراکسی عمل میکند، اظهار کردند که نسخه جدید چندین Function Name را با نسخه قدیمی به اشتراک میگذارد و برخی از مسیرهای Hardcoded شباهتهایی به کمپینهای قبلی Stantinko دارند.
Stantinko درکنار تهدیداتی همچون Doki ،IPStorm و RansomEXX آخرین بدافزاری است که سرورهای لینوکس را برای مخفی شدن مورد هدف قرار میدهد. به نظر ما این بدافزار بخشی از یک کمپین وسیعتر است که از سرورهای لینوکس تحت خطر سواستفاده میکند.
