Розповсюдження шкідливого ПЗ через торрент

Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про поширення шкідливого ПЗ через торрент у вигляді бекдора. Дана загроза поширюється через південнокорейські та китайські торрент-сайти,маскуючись під фільми або телепередачі, а в деяких випадках і під виглядом ігор, використовуючи їх як приманку.

Дане шкідливе ПЗ було побудоване на основі загальнодоступного бекдора GoBot2 та отримало назву GoBotKR. Як оригінал, так і модифікована версія загрози написані мовою програмування GoLang, також відомої як Go. Бекдор дозволяє зловмисникам підключати скомпрометований комп'ютер до ботнет-мережі та віддалено керувати ним.

Відповідно до даних телеметрії ESET, група кіберзлочинців бекдора GoBotKR активна з 2018 року. Варто зазначити, що основною ціллю зловмисників є Південна Корея (80%), а також жертвами стали користувачі з Китаю(10%) та Тайваню (5%).

Зловмисники використовують розважальний контент для поширення шкідливого ПЗ - новини ESET.

«Зловмисники, що стоять за розповсюдженням даної загрози намагаються змусити користувачів завантажити зловмисну програму через оманливі назви файлів, розширення чи іконки. Пряме відкриття файлу MP4 не призводить до зловмисних дій. Оскільки, він частіше прихований в іншому каталозі, і користувачі можуть спершу зіткнутися зі зловмисним файлом, що імітує його», — коментують дослідники ESET.

Методика поширення шкідливих файлів даного виду атаки

Виявлені шкідливі програми не є особливо складними технічно. Тим не менш, автори небезпечного бекдора GoBotKR будують мережу ботів, які потім можуть бути використані для виконання DDoS-атак різного роду. Таким чином, після виконання GoBotKR, кіберзлочинці спочатку збирають системну інформацію про скомпрометований комп'ютер, враховуючи конфігурацію мережі, інформацію про версію ОС, версії CPU та GPU. А також перевіряють пристрій на наявність встановлених антивірусних програм.

«Така інформація надсилається на командний сервер (C&C) для визначення ботів, які слід використовувати у відповідних атаках. Усі командні сервери, які були отримані з проаналізованих зразків шкідливого ПЗ, розміщуються в Південній Кореї та зареєстровані на одну персону», — додають дослідники компанії ESET.

Бот має багато можливостей —наприклад, дозвіл операторам контролювати або розширювати ботнет-мережу, уникаючи при цьому виявлення користувачем. Серед інших підтримуваних команд — можливість управління атакою DDoS на пристроях конкретних жертвах; копіювання шкідливого ПЗ на підключені змінні носії або до загальнодоступних служб хмарних сховищ (Dropbox, OneDrive, GoogleDrive).

«В цілому, модифікації загрози показують, що зловмисники налаштували шкідливе ПЗ для певної аудиторії, намагаючись залишатися непоміченими у своїй кампанії», — підсумовують дослідники ESET.

Більш детальний аналіз даного бекдора GoBotKR та індикатори інфікування доступні за посиланням.