Компания ESET — лидер в области информационной безопасности — сообщает о распространении вредоносного ПО через торрент в виде бэкдора. Данная угроза распространяется через южнокорейские и китайские торрент-сайты, маскируясь под фильмы или телепередачи, а в некоторых случаях и под видом игр, используя их как приманку.
Данное вредоносное ПО было построено на основе общедоступного бэкдора GoBot2 и получило название GoBotKR. Как оригинал, так и модифицированная версия угрозы написаны на языке программирования GoLang, также известном как Go. Бэкдор позволяет злоумышленникам подключать скомпрометированный компьютер в ботнет-сеть и удаленно управлять им.
Согласно данным телеметрии ESET, группа киберпреступников бэкдора GoBotKR работает с 2018 года. Стоит отметить,что основной целью злоумышленников является Южная Корея (80%), а также жертвами стали пользователи из Китая (10%) и Тайваня (5%).
«Злоумышленники, которые стоят за распространением данной угрозы пытаются заставить пользователей загрузить злонамеренную программу через ложные названия файлов, расширения или иконки. Прямое открытие файла MP4 не влечет к злонамеренным действиям. Поскольку он чаще скрыт в другом каталоге, и пользователи могут сначала столкнуться со злонамеренным файлом, имитирующим его», — комментируют исследователи ESET.
Методика распространения вредоносных файлов данного вида атаки
Выявленные вредоносные программы не являются особо сложными технически. Тем не менее, авторы опасного бэкдора GoBotKR строят сеть ботов, которые потом могут использовать для выполнения DDoS-атак различного рода. Таким образом, после выполнения GoBotKR, киберпреступники сначала собирают системную информацию о скомпрометированном компьютере, учитывая конфигурацию сети, информацию о версии ОС, версии CPU и GPU. А также проверяют устройство на наличие установленных антивирусных программ.
«Такая информация отправляется на командный сервер (C&C) для определения ботов, которые следует использовать в соответствующих атаках. Все командные серверы, которые были получены из проанализированных образцов вредоносного ПО, размещаются в Южной Корее и зарегистрированы на одну персону», — добавляют исследователи компании ESET.
Бот имеет много возможностей — например, разрешение операторам контролировать или расширять ботнет-сеть, избегая при этом выявление пользователем. Среди других поддерживаемых команд — возможность управления атакой DDoS на устройствах конкретных жертв; копирования вредоносного ПО на подключенные сменные носители или в общедоступных службах облачных хранилищ (Dropbox, OneDrive, GoogleDrive).
«В целом, модификации угрозы показывают, что злоумышленники настроили вредоносное ПО для определенной аудитории, пытаясь оставаться незамеченными в своей кампании», — подытожили исследователи ESET.
Более детальный анализ данного бэкдора GoBotKR и индикаторы инфицирования доступны по ссылке.