CostaBricks

CostaBricks er en skræddersyet læsser, der bruges til at levere 32-bit versionen af SombRAT Backdoor malware. Begge værktøjer er en del af arsenalet i en hackergruppe ved navn CostaRicto, der fungerer som lejesoldat til leje. For CostaBricks skabte hackerne en unik implementering af en mekanisme til virtuel maskine, der er ansvarlig for at udføre en indlejret bytecode, der afkoder og injicerer den endelige nyttelast i hukommelsen. Denne virtuelle maskinmekanisme består af C ++ - objekter og klasser og har 20 forskellige instruktioner, der hver har mellem nul og tre operander. Formålet med denne metode er at øge tilsløringen af de truende aktiviteter, der udføres af truslen. Yderligere anti-analyseforanstaltninger, der findes i truslen, inkluderer hele den ikke-beskedne kode for en legitim open source-applikation ved navn Blink. Denne kode bliver aldrig udført.

Bytecoden, der blev brugt af CostaBricks, forblev identisk i de forskellige prøver af truslen, der blev analyseret af infosec-eksperterne på BlackBerry. Det er nøjagtigt 1800 linjer langt, men de fleste af dem er simpelthen fnug, der er indsat til tilsløringsformål. Bytecodes faktiske programmering er ansvarlig for afkodning af den indlejrede malware-nyttelast, indlæser den i hukommelsen på det kompromitterede system og derefter udfører den. Nyttelasten dekrypteres via en brugerdefineret symmetrisk algoritme med hardkodede nøgler, der kan beskrives som en kombination af SHL / SHR / SUB / ADD / XOR.