Symchanger-malware

Symchanger Malware er et massekompromisværktøj, der tilbydes gratis til trusselsaktører. Det blev promoveret gennem en Facebook-gruppe, der også indeholdt en vejledningsvideo om, hvordan man bruger truslen. Som det normalt er tilfældet, er der selvfølgelig en fangst - Symchanger inkluderer i sin kode en bagdørfunktionalitet. Når alt kommer til alt, hvorfor kan ikke en trusselsaktør udnytte andre cyberkriminelers indsats?

I sin kerne er Symchanger Malware en PHP-kode, der sandsynligvis er taget fra eksisterende malware-trusler. Den eneste meningsfulde ændring er inkludering af bagdøren. Malwaren anvender flere forskellige lag af tilsløring og kodekontrol under udførelsen for at skjule sin sande natur. Symchangers aktivitet begynder med en søgning efter populære konfigurationsfilnavne som WordPress, Joomla, Drupal og WHMCS. Når en passende fil opdages, skaber truslen et symlink til en '.txt' fil. Symchanger vil forsøge at få adgang til / etc / passwd, og hvis det lykkes, udtrækker det indholdet til en liste over alle eksisterende brugere på den bestemte webserver. Derefter udfører den en foreach- loop for at høste legitimationsoplysningerne for hver bruger. Endelig vil Symchanger injicere en truende administratorbruger i hver enkelt database, som den med succes har oprettet en forbindelse.

For den gennemsnitlige trusselsaktør ender Symchangers truende funktionalitet med krydskontamineringsfunktionen. Imidlertid er skjult inde i den underliggende kode for truslen en separat evne - malware-truslen sender fem e-mail-beskeder til flere e-mail-adresser gennem den allerede kompromitterede webserver. Skaberne af Symchanger modtager forskellige følsomme data - stjålne legitimationsoplysninger, biblioteksfortegnelser og URL'en til den specifikke symchanger.php-fil, der er blevet udført, så de kan etablere uautoriseret adgang til de websteder, der er kompromitteret af malware-værktøjet.