StyleServ
StyleServ es classifica com un tipus de programari maliciós conegut com a porta posterior, que té un paper específic en l'àmbit de les amenaces cibernètiques. El programari maliciós de tipus porta posterior està dissenyat específicament per dur a terme una funció doble: en primer lloc, prepara un sistema compromès per a una infiltració més àmplia i, en segon lloc, facilita l'execució de les etapes posteriors d'infecció. Aquestes etapes posteriors solen implicar la descàrrega i la instal·lació de programes o components insegurs addicionals al sistema infectat.
En el cas de StyleServ, els objectius precisos que persegueix estan actualment envoltats d'incertesa. No obstant això, és molt probable que la seva funció principal sigui actuar com a eina preparatòria en el context d'una estratègia de ciberatac més àmplia. Això suggereix que la funció principal de StyleServ és crear les condicions necessàries perquè formes més avançades de programari maliciós s'infiltrin i comprometin encara més el sistema objectiu.
Les infeccions de StyleServ podrien tenir conseqüències nefastes
És molt probable que StyleServ compleixi un paper crític en el context de xarxes infiltrades, principalment mitjançant la realització d'escaneigs per identificar la informació que es pot explotar per afavorir l'atac. Això inclou identificar les vulnerabilitats existents i altres dades rellevants. Aquestes eines són fonamentals en atacs dirigits, especialment aquells caracteritzats per la seva adaptabilitat, ja que depenen en gran mesura de les característiques úniques de l'objectiu i de la seva postura de seguretat.
Se sap que les infeccions StyleServ utilitzen una tècnica anomenada càrrega lateral de DLL. Aquest mètode aprofita el mecanisme d'ordre de cerca DLL de Windows, permetent al programari maliciós utilitzar un programa legítim com a vehicle per executar la seva càrrega útil maliciosa, com ara StyleServ. Aquesta porta posterior s'utilitza normalment en atacs passius, que es distingeixen pel seu enfocament en la supervisió del sistema. Aquesta activitat de supervisió pot abastar tasques com ara l'escaneig de vulnerabilitats i el sondeig de ports.
En els atacs passius, el nivell d'interacció amb el sistema compromès varia. Alguns requereixen una interacció mínima, mentre que altres es dediquen a un reconeixement actiu. Un exemple notable de reconeixement actiu és l'exploració de ports, que té com a objectiu recollir informació sobre les operacions de la xarxa. Concretament, pretén detectar punts febles disponibles i vies potencials per a una infiltració més profunda.
Dins del mecanisme d'infecció de StyleServ, un cop executada la DLL, inicia la creació de cinc fils, cadascun assignat a un port diferent. Aquests fils intenten periòdicament accedir a un fitxer titulat "stylers.bin" a intervals de 60 segons. La validesa del fitxer es determina en funció de la seva disponibilitat i del seu compliment a criteris concrets.
Si es considera vàlid, el fitxer s'utilitza a les sol·licituds de xarxa per a fils posteriors. L'objectiu principal d'aquests fils és supervisar les activitats als sòcols de xarxa. En conseqüència, aquests fils funcionen com a versions xifrades de "stylers.bin" i serveixen com a receptors per a connexions remotes.
Vectors d'infecció típics utilitzats pels cibercriminals
El mètode específic de proliferació de StyleServ encara no s'ha revelat actualment. La distribució de programari maliciós es basa habitualment en tàctiques de pesca i enginyeria social, especialment entre els actors d'amenaces sofisticats que utilitzen atacs i atractius dirigits.
Aquests programes amenaçadors sovint es camuflen dins o s'agrupen al costat de programari normal o fitxers multimèdia. Es poden manifestar en diversos formats, inclosos fitxers executables, arxius com ZIP o RAR, documents, codi JavaScript i molt més.
Les tècniques de distribució més freqüents inclouen: la inclusió d'arxius adjunts o enllaços fraudulents en correus brossa, missatges directes, missatges privats o missatges de text; descàrregues furtives i enganyoses; tàctiques en línia; malvertising, que implica campanyes publicitàries enganyoses; fonts de descàrrega dubtoses, com ara llocs web d'allotjament de fitxers no oficials i gratuïts i xarxes d'intercanvi d'igual a igual; eines d'activació de programari il·lícits com "cracks"; i actualitzacions de programari falsificades.
A més, certs programes nocius tenen la capacitat de propagar-se a través de xarxes locals i instruments d'emmagatzematge extraïbles, com ara unitats flash USB i discs durs externs. Això subratlla la varietat d'estratègies que utilitzen els ciberdelinqüents per difondre programari maliciós.
