• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:330

Palo Alto Networks的資安專家Josh Grunzweig發現一種相當獨特的新型惡意軟體家族PWOBot。
因為是完全以Python編寫因此可以輕易地攻擊多種平台包括Windows，Linux，以及OS X。
按照該資安公司研究，截至目前很大程度上是在波蘭的Windows作業系統蔓延。

過去一年裡的觀察，PWOBot影響了以下波蘭機構：
波蘭國家研究機構
波蘭運輸公司
大波蘭零售商
波蘭資訊技術組織
丹麥建築公司
法國光學設備供應商

而且非常可能有利用其平台之間的切換能力擴張至全球。

大多數PWOBot樣本從chomikuj.pl下載的，這是一個在波蘭流行的檔案共享網路服務。
以下的部分特殊網址為已在觀察的PWOBot副本：
s6216.chomikuj[.]pl/File.aspx?e=Pdd9AAxFcKmWlkqPtbpUrzfDq5_SUJBOz
s6102.chomikuj[.]pl/File.aspx?e=Hc4mp1AqJcyitgKbZvYM4th0XwQiVsQDW...詳見連結

以下檔名經觀察可能會被用來傳送PWOBot:
favicon.png
Quick PDF to Word 3.0.exe
XoristDecryptor 2.3.19.0 full ver.exe
Easy Barcode Creator 2.2.6.exe
Kingston Format Utility 1.0.3.0.exe
uCertify 1Z0-146 Oracle Database 8.05.05 Premium.exe
Six Sigma Toolbox 1.0.122.exe
Fizjologia sportu. Krtkie wykady.exe [Physiology of sports. Short lectures.exe]

Grunzweig進一步補充說：“該惡意軟體已經開始影響了一些設在歐洲的組織，特別是在波蘭。此外，惡意軟體是透過波蘭檔案共享網路服務流行的。“

“惡意軟體本身提供了豐富的功能，包括下載和執行檔案、執行Python代碼、記錄按鍵，生成HTTP server和透過受害人的CPU和GPU挖掘比特幣。

TWCERT/CC建議小心不要誤點釣魚郵件或網站等可疑連結，以免成為下一個受害者。

攻擊手法： 下載和執行檔案、執行Python代碼、記錄按鍵，生成HTTP server和透過受害人的CPU和GPU挖掘比特幣。

參考連結：

https://www.cryptocoinsnews.com/new-malware-mines-bitcoin/

http://researchcenter.paloaltonetworks.com/2016/04/unit42-python-based-pwobot-targets-european-organizations/

https://www.hackread.com/pwobot-malware-a-total-keylogger/