ESET попереджає про поширення шкідливого ПЗ через торрент у вигляді бекдору
ESET попереджає про поширення шкідливого програмного забезпечення через торрент у вигляді бекдору
ESET — лідер у галузі інформаційної безпеки — повідомляє про поширення шкідливого ПО через торент у вигляді бекдору. Ця загроза поширюється через південнокорейські та китайські торрент-сайти, маскуючись під фільми або телепередачі, а в деяких випадках і під виглядом ігор, використовуючи їх як приманку.
Це шкідливе ПО було побудовано на основі загальнодоступного бекдору GoBot2 і отримало назву GoBotKR. Як оригінал, так і модифікована версія загрози написані мовою програмування GoLang, також відомою як Go. Бекдор дозволяє зловмисникам підключати скомпрометований комп'ютер в ботнет-мережу і віддалено керувати ним.
Згідно з даними телеметрії ESET, група кіберзлочинців бекдору GoBotKR працює з 2018 року. Варто зазначити, що основною метою зловмисників є Південна Корея (80%), а також жертвами стали користувачі з Китаю (10%) та Тайваню (5%).
«Зловмисники, які стоять за поширенням даної загрози намагаються змусити користувачів завантажити зловмисну програму через помилкові назви файлів, розширення або іконки. Пряме відкриття файлу MP4 не спричиняє зловмисних дій. Оскільки він частіше прихований в іншому каталозі, і користувачі можуть спочатку зіткнутися зі зловмисним файлом, що його імітує», — коментують дослідники ESET.
Методика розповсюдження шкідливих файлів даного виду атаки
Виявлені шкідливі програми не є особливо складними технічно. Тим не менш, автори небезпечного бекдору GoBotKR будують мережу ботів, які потім можуть використовувати для виконання DDoS-атак різного роду. Таким чином, після виконання GoBotKR, кіберзлочинці спочатку збирають системну інформацію про скомпрометований комп'ютер, враховуючи конфігурацію мережі, інформацію про версію ОС, версію CPU і GPU. Також перевіряють пристрій на наявність встановлених антивірусних програм.
«Така інформація надсилається на командний сервер (C&C) для визначення ботів, які слід використовувати у відповідних атаках. Усі командні сервери, отримані з проаналізованих зразків шкідливого ПЗ, розміщуються в Південній Кореї та зареєстровані на одну персону», — додають дослідники компанії ESET.
Бот має багато можливостей — наприклад, дозволу операторам контролювати або розширювати ботнет-мережу, уникаючи при цьому виявлення користувачем. Серед інших підтримуваних команд – можливість управління атакою DDoS на пристрої конкретних жертв; копіювання шкідливих програм на підключені змінні носії або в загальнодоступних службах хмарних сховищ (Dropbox, OneDrive, GoogleDrive).
«Загалом модифікації загрози показують, що зловмисники налаштували шкідливе ПЗ для певної аудиторії, намагаючись залишатися непоміченими у своїй кампанії», — підсумували дослідники ESET.
