BabaYaga
I den slaviske mytologi og folklore er Baba Yaga-enheden repræsenteret som en ond gammel dame, der kidnapper forkert opførte børn. I cyberkriminalitetens verden er BabaYaga-malware imidlertid en temmelig frygtet trussel, der har et stort potentiale til at forårsage en ret lidt hovedpine til dens mål.
Indholdsfortegnelse
Målretter mod en række forskellige websteder
Hovedformålet med BabaYaga-truslen er at kompromittere websteder og dirigere deres trafik til sider, den indeholder, som er skjult. De pågældende sider dirigerer derefter den kaprede trafik til annonceringslink. Forfatterne af BabaYaga-malware ville generere indtægter, hver gang en bruger køber et produkt eller abonnerer på en service, der blev markedsført til dem via dette lyssky netværk. BabaYaga-truslen er målrettet mod generiske PHP-websteder samt Joomla, Drupal og WordPress-baserede websteder.
Har bagdør og spam-motorkomponenter
BabaYaga-malware består af to hovedkomponenter - en spam-motor og en bagdør. For at modtage kommandoer fra dens operatører sørger BabaYaga malware for at oprette forbindelse til angribernes C&C (Command & Control) server. For at skjule den truende karakter af bagdørskomponenten har forfatterne af BabaYaga-truslen navngivet filerne, der indeholder den med navne, der lyder legitime. Takket være denne komponent ville operatørerne have flere bagdøre til rådighed. Når bagdørskomponenten i BabaYaga har afsluttet sine opgaver med succes, vil spam-motoren komme i arbejde. Spamotorkomponenten er i stand til at downloade malware fra angriberenes C & C-server og injicere den i specifikke centrale WordPress-filer. BabaYaga malware's spam-motor er også i stand til at kontrollere, om truslen løber, når en bruger besøger den kompromitterede side. Det er også i stand til at finde ud af, om besøgende på webstederne er virkelige mennesker eller bots. I tilfælde af at den besøgende bekræftes som et menneske, genererer spam-motoren en linje JavaScript-kode, der ville sikre, at trafikken omdirigeres til et tilknyttet websted, der indeholder reklamer. Hvis brugeren køber et produkt, får forfatterne af BabaYaga malware betalt.
Capabilities
BabaYaga-malware er også i stand til:
- Scanning af det kompromitterede websted og lokalisering af enhver anden malware, der kan være til stede.
- Fjernelse af den lokaliserede malware for at sikre, at det er den eneste trussel, der findes i systemet.
- Opdatering af sig selv, når en opdatering er tilgængelig.
- Geninstallation af sig selv, hvis den fjernes med et anti-malware-værktøj.
- Installation af WordPress.
- Opdatering af WordPress.
- Upload af enkle og komplekse filer til systemet.
- Formere sig selv til yderligere websteder.
Det er tydeligt, at BabaYaga-truslen ikke skal tages let. Denne trussel fungerer meget lydløst, og den er i stand til at kapre trafik meget effektivt. At BabaYaga-truslen er i stand til at fjerne anden malware, er ret interessant og meget imponerende.
