Jullie moeten allemaal het woord 'Malware' hebben gehoord, kwaadaardige software of inhoud die in je systeem is gevallen om het te infecteren en het disfunctioneel te maken.
Maar wat is er nieuw?
Malware wordt gecodeerd door hackers en in het systeem gedropt via een app of software van derden of misschien via phishing-links.
Het zal echter veel gemakkelijker zijn voor hackers of voor de mensen die dat willen, omdat er nu malwarebouwers zijn die aanvallers helpen bij het maken van malware.
Evenzo werd een nieuwe malware-builder ontdekt door onderzoekers van Check Point. Een online bouwer genaamd 'Gazorp', die wordt gehost op dark web.
Het is een bouwer voor het ontwerpen van binaire bestanden, voor malware zoals AZORult.
AZORult is een informatie-stealer die informatie kan stelen zoals gebruikerswachtwoorden, creditcardgegevens, cryptocurrency-gerelateerde gegevens en meer.
De Gazorp-builder is gratis beschikbaar voor hackers. Het helpt auteurs om nieuwe binaire bestanden van AZORult en panelservercode te maken, waarna auteurs alleen hun corresponderende command & control (C&C) adres hoeven op te geven.
Zodra ze het C&C-serveradres verstrekken, wordt het gerepareerd met het nieuw gemaakte voorbeeldbinaire bestand dat kan worden gedistribueerd en gebruikt op welke manier de acteur het ook wil.
Volgens onderzoekers kan het effectief een voorbeeld genereren van AZORult-versie 3.0 die bijna vijf maanden geleden op de markt was.
En in de afgelopen 5 maanden is het twee keer geüpdatet naar respectievelijk versie 3.0 en 3.2, waarvan wordt gezegd dat ze door Gazorp zijn gebouwd. De verouderde versies van AZORult hebben verschillende mogelijkheden om informatie te stelen, maar er zijn nog steeds meerdere upgrades die de malwarecode verbeteren en sterker maken dan voorheen.
Lees ook:Malware: te brutaal voor cyberbeveiliging!
Zoals onderzoekers zeiden, is Gazorp in staat om duplicaten van AZORult-versie 3.0 te bouwen, maar het is niet volledig vergelijkbaar, het heeft enkele onderscheidende kenmerken in vergelijking met het origineel. Laten we eens kijken naar de kenmerken van AZORult die door Gazorp zijn gegenereerd en die zich onderscheiden van de originele.
1. Het heeft een unieke mutex die aan het begin van de uitvoering wordt gemaakt. Mutex is een aaneenschakeling en samenvoeging van de bevoegdheden van de gebruiker (A-admin, U-user, S-system, G-guest) en de string “d48qw4d6wq84d56as”.
2. Het versleutelt en beveiligt de verbinding met de C2-server met behulp van de XOR-methode met een sleutel die hard gecodeerd is in het bestand. AZORult versie 3.0 van Gazorp heeft hetzelfde; het wordt ook geleverd met een sleutel die 0xfe, 0x29, 0x36 is.
3. Het bericht dat wordt geretourneerd door de C2-server wordt geleverd met tags, die in versie 3.0 als volgt zijn:
Sqlite3_file
De waarden tussen de tags worden gedecodeerd met Base64.
Timing is wat de makers van Gazorp in gedachten hadden, het draait allemaal om timing en strategie. Het viel op na gelekte code van het AZORult-paneel voor respectievelijk versie 3.1 en 3.2.
De gelekte code stelt acteurs in staat om zonder enige moeite een C&C-panel te hosten, het is zo gemakkelijk en eenvoudig gemaakt. Het bevat een builder voor de nieuwste versie, die niet wordt aangeboden met de originele versie.
Online builder is gekoppeld aan het Telegram-kanaal, dat alle activiteiten weergeeft die door de aanvallers zijn uitgevoerd, zodat iedereen weet wat er kookt. Ook kunnen geïnteresseerden hun suggesties indienen en feedback geven ter verbetering van dit project. Hoewel Gazorp gratis te gebruiken is, maar om geld te verdienen met het project, geven ze transacties uit aan een bepaalde Bitcoin-portemonnee. In ruil voor donatie garanderen ze een meer geüpgradede en ontwikkelde bouwer om aanvallers op alle mogelijke manieren te helpen.
Het lijkt erop dat hackers geen andere manieren nodig hebben om malware te verspreiden. Ze hoeven alleen maar Gazorp te bereiken en een binair bestand te maken en ze zijn klaar om duizenden systemen in slechts enkele minuten te infecteren. Dit is zeker een punt van zorg voor cyberbeveiligingsexperts en dagelijkse internetgebruikers. Maar wat kan men doen, in plaats van minimale voorzorgsmaatregelen te nemen voor hun eigen veiligheid. Het voelt alsof er een nieuwe generatie hacking is geïntroduceerd en de wereld niet meer veilig is.
Moet lezen: GhostDNS: de nieuwe malware in de stad
Als je dit nuttig vond, laat het ons dan weten. U kunt uw feedback ook achterlaten in het commentaargedeelte hieronder.