Kali ini dilaporkan sebuah backdoor Windows yang dijuluki CowerSnail ditemukan. Terdeteksi oleh periset keamanan di Kaspersky Labs sebagai Backdoor.Win32.CowerSnail, CowerSnail adalah backdoor berfitur lengkap yang memungkinkan penciptanya mengeksekusi perintah apapun dari jarak jauh pada sistem yang terinfeksi.
Kelompok hacker yang sama dibalik malware SambaCry sekarang menargetkan mesin Windows dengan backdoor baru, yang merupakan versi kompilasi ulang berbasis QT dari malware serupa yang digunakan untuk menargetkan Linux.
Bagaimana kedua peluncuran malware terpisah ini terhubung?
Menariknya, backdoor CowerSnail menggunakan server command-and-control yang sama dengan server malware yang digunakan untuk menginfeksi mesin Linux yang bertujuan menambang kripto pada bulan lalu dengan memanfaatkan kerentanan SambaCry yang baru saja terpapar.
Lokasi Server C&C – cl.ezreal.space.20480
Kerentanan SambaCry (CVE-2017-7494), yang dinamai karena kesamaannya dengan kerentanan Windows SMB yang dieksploitasi oleh ransomware WannaCry yang menimbulkan malapetaka di seluruh dunia, mempengaruhi semua versi Samba yang lebih baru dari Samba 3.5.0 yang dirilis dalam tujuh tahun terakhir.
Tak lama setelah publikasi keberadaannya, SambaCry dieksploitasi oleh kelompok hacker ini untuk menginstal perangkat lunak penambangan kripto-currency dari jarak jauh – CPUminer yang menandai kriptografi seperti Bitcoin, Litecoin, Monero dan lainnya – pada sistem Linux.
Tapi sekarang, para hacker yang sama menargetkan keduanya, komputer Windows dan Linux, dengan CPUminer yang memanfaatkan sumber daya komputasi dari sistem yang terinfeksi untuk mendapatkan keuntungan.
“Setelah membuat dua Trojan terpisah, masing-masing dirancang untuk platform tertentu dan masing-masing memiliki kekhasan tersendiri, sangat mungkin kelompok ini akan menghasilkan lebih banyak malware di masa mendatang,” kata Sergey Yunakovsky dari Kaspersky Labs dalam sebuah posting blog.
Meskipun di patch pada akhir Mei, bug SambaCry secara aktif dieksploitasi oleh para hacker. Baru minggu lalu, para periset melihat sepotong malware baru, yang disebut SHELLBIND yang mengeksploitasi kelemahan pada perangkat Network Attached Storage (NAS).
