Plurox
O Plurox é um Trojan backdoor, vinculado a várias campanhas de malware. O Plurox tem alguns aspectos de seu design que são relativamente únicos e chamaram a atenção dos pesquisadores de segurança do PC. O Plurox, como a maioria dos Trojans de backdoor, é projetado para permitir que criminosos obtenham acesso não autorizado a um computador criando uma chamada backdoor, que pode ser usada para instalar outro malware ou comprometer o dispositivo da vítima de várias outras maneiras. Atualmente, o Plurox é distribuído amplamente, e parece que o Plurox não representa uma ameaça para usuários individuais de computador (embora seja possível que isso mude no futuro).
Índice
Distribuição do Plurox e Métodos de Infecção
Ameaças como o Plurox podem ser distribuídas de várias maneiras, e vários métodos foram vinculados a campanhas do Plurox. A distribuição do Plurox está vinculada a explorações e vulnerabilidades populares, como o EternalBlue . Os criminosos usarão métodos para distribuir o Plurox através de uma rede para outros dispositivos que possam estar em contato com o computador comprometido quando o Plurox infectar um dispositivo. É provável que os criminosos responsáveis pelo Plurox tenham como alvo empresas e organizações que possuam redes de computadores que possam ser comprometidas, em vez de usuários individuais de PCs domésticos.
Detalhando os Ataques do Plurox
Plurox é modular em design, o que significa que ele é projetado para expandir seu recurso com uma variedade de módulos e plugins. As amostras estudadas por pesquisadores de segurança parecem indicar que o Plurox ainda está em fase de testes, em vez de ser concluído e polido completamente e que Plurox foi escrito usando C. Plurox estabelece sua conexão com um servidor de comando e controle usando protocolos TCP e módulos de download, dependendo sobre a aparência do ataque que está sendo realizado. O Plurox utiliza dois métodos de conexão específicos, um projetado para receber módulos e componentes de mineração de moeda digital especificamente e o outro para outros plugins além dos mineiros. Um aspecto do Plurox que chamou a atenção dos pesquisadores de segurança do PC é que sua criptografia deixa muito a desejar, com apenas algumas chaves de quatro bytes aplicadas à criptografia XOR. Isso facilitou o estudo relativamente.
A Conexão do Plurox com as Operações de Mineração de Moeda Digital
Campanhas que foram vinculadas ao Plurox têm o objetivo de plantar malware de mineração de criptomoedas nos dispositivos das vítimas, minerando moedas digitais às custas da vítima e enviando os lucros para a carteira digital dos invasores. Os módulos associados ao Plurox usarão não apenas a CPU do dispositivo infectado, mas também a GPU e as placas de vídeo (AMD e NVIDIA) para explorar a moeda digital, permitindo que o malware ligado ao Plurox consiga uma grande variedade de criptomoedas. Os plugins a seguir foram vistos no ataque do Plurox, cada um conectado a um aspecto diferente da mineração de criptomoeda (que pode ser obtida a partir do nome do plugin):
auto_proc
auto_cuda
auto_miner
auto_opencl_amd
auto_gpu_intel
auto_gpu_nvidia
auto_gpu_cuda
auto_gpu_amd
Plugin UPnP
Quais Comandos podem Executar o Plurox?
Assim que o Plurox infecta um dispositivo, ele se conecta ao seu servidor de Comando e Controle para recuperar os plugins que ele usa em seu ataque.. O Plurox pode executar sete comandos neste estágio:
- Faça o download e execute arquivos usando o WinAPI CreateProcess no dispositivo da vítima.
- Atualize os bots e ele mesmo.
- Exclua e pare, removendo todos os seus vestígios do dispositivo infectado.
- Baixe e execute plugins.
- Pare de plugins.
- Atualize os plug-ins, pare o processo, exclua a versão antiga e inicie a nova.
- Pare e exclua plugins.