Všetci ste už určite počuli slovo „Malware“, škodlivý softvér alebo obsah spadnutý do vášho systému, ktorý ho infikoval a znefunkčnil.
Čo je však nové?
Malvér je kódovaný hackermi a do systému sa dostáva pomocou nejakej aplikácie alebo softvéru tretej strany alebo možno prostredníctvom phishingových odkazov.
Bude to však oveľa jednoduchšie pre hackerov alebo pre ľudí, ktorí sú ochotní tak urobiť, pretože teraz existujú nástroje na tvorbu malvéru, ktoré útočníkom pomáhajú pri vytváraní malvéru.
Podobne nový program na tvorbu škodlivého softvéru objavili vedci v Check Point. Online staviteľ prezývaný „Gazorp“, ktorý je hostený na tmavom webe.
Je to nástroj na navrhovanie binárnych súborov pre malvér, ako je napríklad AZORult.
AZORult je krádež informácií, ktorý je schopný kradnúť informácie, ako sú napríklad používateľské heslá, informácie o kreditných kartách, údaje týkajúce sa kryptomeny a ďalšie.
Builder Gazorp je hackerom k dispozícii zadarmo. Pomáha autorom vytvárať nové nové binárne súbory kódu AZORult a panelového servera, po ktorých musia autori uviesť iba svoju zodpovedajúcu adresu príkazu a riadenia (C&C).
Akonáhle poskytnú adresu servera C&C, opraví sa to pomocou novovytvoreného ukážkového binárneho súboru, ktorý je možné distribuovať a používať akýmkoľvek spôsobom, ktorý má herec rád.
Podľa vedcov dokáže efektívne generovať vzorku AZORult verzie 3.0, ktorá bola na trhu pred takmer piatimi mesiacmi.
A za posledných 5 mesiacov bol dvakrát aktualizovaný na verzie 3.0, respektíve 3.2, ktoré údajne vyrába Gazorp. Zastarané verzie AZORultu obsahujú niekoľko funkcií na získavanie informácií, ale stále niekoľko upgradov vylepšuje kód škodlivého softvéru a robí ho silnejším ako predtým.
Prečítajte si tiež:Malvér: príliš drzý na kybernetickú bezpečnosť!
Ako povedali vedci, Gazorp je schopný vytvárať duplikáty AZORult verzie 3.0, ale nie je to úplne podobné, v porovnaní s pôvodným má niektoré charakteristické črty. Pozrime sa na funkcie AZORultu, ktoré generuje Gazorp a ktoré sa od tej pôvodnej líšia.
1. Má jedinečný mutex, ktorý sa vytvorí na začiatku vykonávania. Mutex je zreťazenie a spojenie autorít používateľa (A-admin, U-užívateľ, S-systém, G-hosť) a reťazca „d48qw4d6wq84d56as“.
2. Šifruje a zabezpečuje svoje spojenie so serverom C2 pomocou metódy XOR s kľúčom pevne zakódovaným vo vnútri súboru. AZORult verzia 3.0 od Gazorp má to isté; dodáva sa tiež s kľúčom, ktorý je 0xfe, 0x29, 0x36.
3. Správa vrátená zo servera C2 obsahuje značky, ktoré sú vo verzii 3.0 nasledujúce:
Sqlite3_file
Hodnoty medzi značkami sú dekódované pomocou Base64.
Načasovanie bolo to, čo mali tvorcovia spoločnosti Gazorp na mysli, všetko je o načasovaní a stratégii. To si všimlo po uniknutom kóde panelu AZORult’s pre verziu 3.1, respektíve 3.2.
Uniknutý kód umožňuje hercom hosťovať panel C&C bez akejkoľvek námahy, je to také ľahké a jednoduché. Obsahuje builder pre najnovšiu verziu, ktorý nie je ponúkaný s pôvodnou verziou.
Nástroj na vytváranie online je prepojený s kanálom Telegram, ktorý zobrazuje všetky aktivity vykonávané útočníkmi, aby každý vedel, čo sa pripravuje. Záujemcovia môžu tiež predložiť svoje návrhy a poskytnúť spätnú väzbu na zlepšenie tohto projektu. Aj keď je Gazorp slobodný na použitie, ale na speňaženie projektu vydávajú transakcie do konkrétnej bitcoinovej peňaženky. Na oplátku darujú záruku vylepšeného a vyvinutého staviteľa, ktorý pomáha útočníkom všetkými možnými spôsobmi.
Zdá sa, že hackeri nepotrebujú ďalšie spôsoby šírenia škodlivého softvéru. Musia sa dostať do Gazorp a vytvoriť binárny súbor. Za pár minút môžu infikovať tisíce systémov. Toto je určite téma znepokojujúca odborníkov na kybernetickú bezpečnosť a každodenných používateľov internetu. Čo však môže človek urobiť, namiesto minimálnych bezpečnostných opatrení. Zdá sa, že bola zavedená nová generácia hackerov a svet už nie je bezpečný.
Musíte prečítať: GhostDNS: Nový malware v meste
Ak je to pre vás užitočné, dajte nám vedieť. Svoju spätnú väzbu môžete tiež zanechať v sekcii komentárov nižšie.