DarkIRC Malware

DarkIRC Malware Descrizione

DarkIRC Malware è una minaccia che viene offerta in vendita nei forum degli hacker sotterranei. Il presunto creatore di questo malware e quello che lo ha pubblicizzato da agosto 2020 utilizza il nome dell'account Freak_OG. Secondo i post, DarkIRC è disponibile per l'acquisto a $ 75. Anche se non è stato determinato se è gestito dal creatore della minaccia o da un potenziale cliente, una campagna di attacco che fornisce DarkIRC è stata rilevata dai ricercatori di infosec. I principali obiettivi della minacciosa campagna sono i server Oracle WebLogic esposti a cui non è stata applicata la patch per la vulnerabilità RCE (Remote Code Execution) CVE-2020-1482 nonostante la patch risolva il problema che è stata rilasciata da Oracle nell'ottobre 2020. Questa particolare vulnerabilità è estremamente severo in quanto sfruttabile senza la necessità di alcuna autenticazione, inclusi nomi utente o password.

Il malware DarkIRC possiede un'ampia gamma di funzioni minacciose

Se viene rilevato un server Oracle WebLogic senza patch, DarkIRC verrà consegnato su di esso tramite una richiesta HTTP GET. Il file binario danneggiato rilasciato sul sistema è dotato di contromisure contro potenziali analisi o viene eseguito in un ambiente sandbox: termina la sua esecuzione se rileva una macchina virtuale VMware, VBox, QEMU, VirtualBox o Xen.

Il successivo processo di attacco consiste nell'installarsi in % APDATA% \ Chrome / Chrome.exe e quindi stabilire il suo meccanismo di persistenza tramite la creazione di una voce di esecuzione automatica. Ora, DarkIRC può procedere a svolgere la sua moltitudine di attività minacciose. La minaccia ha una vasta gamma di funzioni disponibili in quanto può scaricare file aggiuntivi, eseguire comandi arbitrari, raccogliere credenziali, avviare keylogging e condurre attacchi DDoS (Distributed Denial of Service). DarkIRC è in grado di propagarsi ad altri sistemi e dispositivi attraverso diversi metodi:

  • Attacchi RDP a forza bruta
  • MSSQL
  • SMB
  • USB

Se gli attori della minaccia scelgono di farlo, possono anche sfruttare DarkIRC per agire come un clipper Bitcoin. Ciò comporta che la minaccia, in tempo reale, sostituirà qualsiasi indirizzo del portafoglio Bitcoin che è stato copiato negli appunti con uno degli hacker, con il risultato che le vittime invieranno inconsapevolmente i loro fondi al destinatario sbagliato.

Lascia un commento

NON utilizzare questo sistema di commenti per domande di supporto o fatturazione. Per richieste di supporto tecnico SpyHunter, si prega di contattare direttamente il nostro team di supporto tecnico aprendo un ticket di supporto clienti tramite SpyHunter. Per problemi di fatturazione, fai riferimento alla nostra pagina "Domande o problemi di fatturazione?". Per domande generali (reclami, legali, stampa, marketing, copyright), visita la nostra pagina "Richieste di informazioni e feedback".


HTML non è consentito.