Plurox spada u malvere koji se ne sreću svakog dana. Iako još u test fazi, poseduje nekoliko naprednih osobina - može da radi kao backdoor na inficiranim korporativnim mrežama, da se kreće lateralno kako bi kompromitovao nove sisteme, a može i da rudari kripto valute pomoću jednog od 8 različitih dodataka. Drugim rečima, malver može u isto vreme da radi kao backdoor trojanac, virus koji se samostalno razmnožava i miner za kripto valute.
Modularna struktura malvera
Jezgro malvera se sastoji od primarne komponente koja omogućava Plurox botovima (inficiranim uređajima) da komuniciraju sa C&C serverom. Ovo je ujedno i najvažnija komponenta koja se koristi za preuzimanje i pokretanje fajlova na inficiranim uređajima. U ovim dodatnim fajlovima, koji su nazvani „plugins“, nalazi se najveći broj funkcija koje malver poseduje.
Otkriveno je ukupno 8 dodataka (plugin-ova) za rudaranje kripto valuta (za CPU/GPU rudarenje na različitim hardverskim konfiguracijama), jedan UPnP plugin i jedan SMB plugin.
Analizom komunikacije sa C&C serverom, zaključak je da je osnovna svrha malvera rudarenje kripto valuta.
SMB plugin je u stvari prepakovan NSA exploit EternalBlue, koji mnoge hakerske grupe koriste. Njegov zadatak je skeniranje lokalnih mreža i širenje na ranjive radne stanice preko SMB protokola. Delovi Plurox SMB plugina dele kod sa Trickster malverom.
uPnP plugin
Ovaj dodatak je inspirisan NSA exploitom EternalSilence i predstavlja najopasniji plugin. Kreira pravila za prosleđivanje portova na lokalnoj mreži na inficiranom uređaju, čime se stvara tunel (backdoor) u mreži kompanije i zaobilazi firewall i druga bezbednosna rešenja.
U ovom trenutku nije poznato na koji način hakeri distribuiraju malver, odnosno kako inicijalno ulaze u velike mreže.
Izvor: ZD Net