Επιθέσεις με κακόβουλα torrents σε τηλεθεατές στη Νότια Κορέα
Οι ερευνητές της ESET ανακάλυψαν και ανέλυσαν μια υπό εξέλιξη κακόβουλη εκστρατεία, που διανέμει ένα backdoor μέσω torrents, χρησιμοποιώντας ως δόλωμα κορεάτικο τηλεοπτικό περιεχόμενο (ταινίες, σόου) και πολλές φορές παιχνίδια.
Το backdoor έχει εξαπλωθεί μέσω ιστότοπων torrent της Νότιας Κορέας και της Κίνας. Το malware επιτρέπει στον εισβολέα να συνδέσει τον παραβιασμένο υπολογιστή σε ένα botnet και να τον ελέγχει από
Το συγκεκριμένο malware αποτελεί μια τροποποιημένη έκδοση του GoBot2, ενός δημόσια διαθέσιμου backdoor. Οι τροποποιήσεις στον πηγαίο κώδικα κυρίως αφορούν τεχνικές διαφυγής συγκεκριμένα για χρήση στη Νότια Κορέα. Καθώς η εκστρατεία στοχοποιεί ξεκάθαρα τη συγκεκριμένη χώρα, η ESET έχει δώσει την ονομασία GoBotKR στη συγκεκριμένη έκδοση Win64/GoBot2. Σύμφωνα με την τηλεμετρία ESET, το GoBotKR είναι ενεργό από το 2018. Η Νότια Κορέα είναι η χώρα που έχει δεχθεί τις περισσότερες επιθέσεις (80% των ανιχνεύσεων), ακολουθούμενη από την Κίνα (10%) και την Ταϊβάν (5%).
«Οι κυβερνοεγκληματίες που βρίσκονται πίσω από αυτή την εκστρατεία προσπαθούν να ξεγελάσουν τους χρήστες να εκτελέσουν το κακόβουλο λογισμικό με το να τοποθετούν στο περιεχόμενο των torrents παγίδες με κακόβουλα αρχεία που έχουν παραπλανητικά ονόματα αρχείων, επεκτάσεις και εικονίδια», λέει η ερευνήτρια της ESET, Zuzana Hromcova, που ανέλυσε το κακόβουλο λογισμικό. «Δεν θα προκύψει κακόβουλη ενέργεια απευθείας με το άνοιγμα του αρχείου MP4. Η παγίδα εδώ βρίσκεται στο ότι το αρχείο MP4 συχνά κρύβεται σε διαφορετικό κατάλογο και οι χρήστες μπορεί να συναντήσουν πρώτα το κακόβουλο αρχείο που το μιμείται».
Σύμφωνα με την ESET, το malware δεν είναι ιδιαίτερα σύνθετο τεχνικά. Ωστόσο, οι κυβερνοεγκληματίες πίσω από το GoBotKR χτίζουν ένα δίκτυο από bots, τα οποία μπορούν στη συνέχεια να χρησιμοποιηθούν για την εκτέλεση διαφόρων ειδών επιθέσεων DDoS. Επομένως, μετά την εκτέλεσή του, το GoBotKR συλλέγει πρώτα πληροφορίες συστήματος σχετικά με τον παραβιασμένο υπολογιστή, όπως ρυθμίσεις δικτύου, πληροφορίες έκδοσης λειτουργικών συστημάτων, CPU και GPU. Συγκεκριμένα, συλλέγει μια λίστα από εγκατεστημένα προϊόντα antivirus.
Αυτές οι πληροφορίες αποστέλλονται σε ένα διακομιστή C&C, που βοηθά τους εισβολείς να καθορίσουν ποια bots μπορούν να χρησιμοποιηθούν στις αντίστοιχες επιθέσεις. «Όλοι οι διακομιστές C&C που βρέθηκαν μέσα από τα δείγματα malware που αναλύθηκαν, εντοπίστηκαν να φιλοξενούνται στη Νότια Κορέα και να καταχωρούνται από το ίδιο άτομο», εξηγεί η Hromcova στην έρευνα της.
Το bot έχει πολλές δυνατότητες, όπως το να επιτρέπει την κατάχρηση του παραβιασμένου υπολογιστή, ή να δίνει στους χειριστές του botnet τη δυνατότητα να ελέγχουν ή να επεκτείνουν περαιτέρω το botnet. Επίσης, επιτρέπει την αποφυγή ανίχνευσης και την απόκρυψη από τον χρήστη. Μεταξύ άλλων υποστηριζόμενων εντολών είναι η δυνατότητα να κατευθύνει μια επίθεση DDoS σε συγκεκριμένα θύματα, η αντιγραφή του κακόβουλου λογισμικού σε συνδεδεμένα αφαιρούμενα μέσα ή σε δημόσιους φακέλους υπηρεσιών αποθήκευσης στο cloud (Dropbox, OneDrive, Google Drive), καθώς και η εμφύτευση torrents με το κακόβουλο αρχείο ως μέσο για την περαιτέρω επέκταση του botnet.
Από πλευράς έρευνας, το GoBotKR παρουσιάζει ιδιαίτερο ενδιαφέρον για τις τεχνικές διαφυγής του, οι οποίες προσαρμόστηκαν για να στοχεύσουν τη Νότια Κορέα. Συγκεκριμένα, το κακόβουλο λογισμικό σαρώνει διαδικασίες που εκτελούνται στο παραβιασμένο σύστημα προκειμένου να ανιχνεύσει συγκεκριμένα προϊόντα antivirus, μεταξύ των οποίων συγκαταλέγονται τα προϊόντα μιας εταιρείας λύσεων ασφάλειας της Νότιας Κορέας. Αν κάποιο από τα προϊόντα εντοπιστεί, τερματίζεται. Μια άλλη τεχνική διαφυγής εντοπίζει εργαλεία αναλύσεων που τρέχουν στο σύστημα, έχοντας και πάλι ως στόχο την ίδια εταιρεία ασφάλειας της Νότιας Κορέας. Στην τρίτη τεχνική αποφυγής, οι εισβολείς καταχρώνται νόμιμες νοτιοκορεάτικες ηλεκτρονικές πλατφόρμες για να προσδιορίσουν τη διεύθυνση IP του θύματος. «Συνολικά, οι τροποποιήσεις μας δείχνουν ότι οι επιτιθέμενοι προσαρμόζουν το κακόβουλο λογισμικό σε ένα συγκεκριμένο κοινό, ενώ παράλληλα καταβάλλουν επιπλέον προσπάθειες για να μην ανιχνευθούν», καταλήγει η Hromcova.
- Δημοφιλέστερες Ειδήσεις Κατηγορίας Τεχνολογία
- Δημοφιλέστερες Ειδήσεις TechPress
- Επιθέσεις με κακόβουλα torrents σε τηλεθεατές στη Νότια Κορέα
- Νέες υπηρεσίες από τα Google Maps που θα κάνουν τις διακοπές πιο εύκολες
- H Lenovo παρουσιάζει SINGLE-SOCKET SERVERS
- Η Huawei προβλέπει τις 10 κυρίαρχες τάσεις για το 2025
- Deloitte: Νέος Principal Συμβουλευτικών υπηρεσιών και βασικών επιχειρησιακών λειτουργιών ο Βασίλης Δημακάκος
- Τελευταία Νέα TechPress
- Επιθέσεις με κακόβουλα torrents σε τηλεθεατές στη Νότια Κορέα
- Deloitte: Νέος Principal Συμβουλευτικών υπηρεσιών και βασικών επιχειρησιακών λειτουργιών ο Βασίλης Δημακάκος
- Νέες υπηρεσίες από τα Google Maps που θα κάνουν τις διακοπές πιο εύκολες
- H Lenovo παρουσιάζει SINGLE-SOCKET SERVERS
- Η Huawei προβλέπει τις 10 κυρίαρχες τάσεις για το 2025
- Samsung Galaxy Note10 / 10+: Ξεκίνησαν οι προ-παραγγελίες σε Cosmote και Γερμανό
- Τα νέα Galaxy Note 10 & 10+ έρχονται στη Wind
- Gigaset AS270: Ελευθερία στην επικοινωνία
- H PayPal λανσάρει την υπηρεσία «Κοινά Ταμεία» (Money Pools) στην Ελλάδα
- H Thales αναπτύσσει λύσεις κυβερνοασφάλειας για τα αυτοκίνητα του μέλλοντος
- Τελευταία Νέα Κατηγορίας Τεχνολογία
- «Τι να μαγειρέψω σήμερα» - Δωρεάν εφαρμογή με συνταγές από Ελλάδα και εξωτερικό
- Ημερομηνία κυκλοφορίας του Trine 4: The Nightmare Prince (trailer)
- Xiaomi και Samsung προαναγγέλουν smartphone με αισθητήρα 108MP
- Ο Beastmaster FL4K πρωταγωνιστεί στο νέο trailer του Borderlands 3
- Samsung: Διέγραψε τα διαφημιστικά βίντεο που σχετίζονταν με την απουσία της θύρας ακουστικών
- Πρώτο επίσημο trailer του Yo-Kai Watch στο Switch
- Σειρά Event Horizon ετοιμάζει το Amazon
- Galaxy Watch Active2: Σχεδιασμένο για Ευεξία & Αναβαθμισμένη Συνδεσιμότητα
- Η νέα σειρά LG OLED τηλεοράσεων προσφέρει ασυναγώνιστη ποιότητα εικόνας και αξεπέραστη τεχνολογία
- This War of Mine: Stories - Fading Embers Review
