StyleServ

StyleServ е категоризиран като вид злонамерен софтуер, известен като задна врата, който изпълнява специфична роля в сферата на киберзаплахите. Зловреден софтуер от типа на задната врата е специално създаден да изпълнява двойна функция: първо, той подготвя компрометирана система за по-широко проникване и второ, улеснява изпълнението на последващи етапи на заразяване. Тези по-късни етапи често включват изтегляне и инсталиране на допълнителни опасни програми или компоненти в заразената система.

В случая на StyleServ точните цели, които преследва, в момента са обвити в несигурност. Въпреки това е много вероятно основната му функция да действа като подготвителен инструмент в контекста на по-широка стратегия за кибератака. Това предполага, че основната роля на StyleServ е да създаде необходимите условия за по-напреднали форми на злонамерен софтуер, които да проникнат и да компрометират допълнително целевата система.

Инфекциите на StyleServ могат да имат ужасни последици

Много е вероятно StyleServ да играе критична роля в контекста на проникнали мрежи, основно чрез извършване на сканиране за идентифициране на информация, която може да бъде използвана за по-нататъшна атака. Това включва определяне на съществуващи уязвимости и други подходящи данни. Такива инструменти са инструмент за целенасочени атаки, особено тези, характеризиращи се с тяхната адаптивност, тъй като те силно разчитат на уникалните характеристики на целта и нейната позиция на сигурност.

Известно е, че инфекциите на StyleServ използват техника, наречена странично зареждане на DLL. Този метод се възползва от механизма за ред на търсене на DLL на Windows, позволявайки на злонамерения софтуер да използва легитимна програма като средство за изпълнение на своя злонамерен полезен товар, като StyleServ. Тази задна вратичка обикновено се използва при пасивни атаки, които се отличават с фокуса си върху системния мониторинг. Тази дейност по наблюдение може да включва задачи като сканиране на уязвимости и сондиране на портове.

При пасивни атаки нивото на взаимодействие с компрометираната система варира. Някои изискват минимално взаимодействие, докато други участват в активно разузнаване. Забележителен пример за активно разузнаване е сканирането на портове, което е насочено към събиране на информация за операциите на мрежата. По-конкретно, той има за цел да открие наличните слаби места и потенциални пътища за по-дълбоко проникване.

В рамките на механизма за заразяване на StyleServ, след като DLL се изпълни, той инициира създаването на пет нишки, всяка от които е назначена на различен порт. Тези нишки периодично се опитват да получат достъп до файл, озаглавен „stylers.bin“ на интервали от 60 секунди. Валидността на файла се определя въз основа на неговата наличност и съответствието му с определени критерии.

Ако се счита за валиден, файлът се използва в мрежови заявки за следващи нишки. Основната цел на тези нишки е да наблюдават дейностите в мрежовите сокети. Следователно тези нишки функционират като криптирани версии на "stylers.bin" и служат като рецептори за отдалечени връзки.

Типични вектори на инфекция, използвани от киберпрестъпниците

Конкретният метод за разпространение на StyleServ остава неразкрит в момента. Разпространението на злонамерен софтуер обикновено разчита на тактики за фишинг и социално инженерство, особено сред сложни заплахи, които използват целенасочени атаки и примамки.

Тези заплашителни програми често са маскирани в рамките на обикновен софтуер или мултимедийни файлове или са свързани с тях. Те могат да се проявяват в различни формати, включително изпълними файлове, архиви като ZIP или RAR, документи, JavaScript код и др.

Най-разпространените техники за разпространение включват: включване на измамни прикачени файлове или връзки в спам имейли, директни съобщения, лични съобщения или текстови съобщения; невидими и измамни изтегляния от драйв-бай; онлайн тактики; злонамерена реклама, която включва измамни рекламни кампании; съмнителни източници за изтегляне, като например неофициални и безплатни уебсайтове за хостване на файлове и мрежи за споделяне между партньори; незаконни инструменти за активиране на софтуер като „кракове“; и фалшиви софтуерни актуализации.

Освен това някои вредни програми притежават способността да се саморазпространяват през локални мрежи и преносими устройства за съхранение, включително USB флаш памети и външни твърди дискове. Това подчертава разнообразната гама от стратегии, използвани от киберпрестъпниците за разпространение на зловреден софтуер.