Gon Malware

Entro GoldSparrow nel Malware

Traduci in:

A giudicare dalla sua funzionalità, Gon Malware è stato determinato per essere uno strumento di post-sfruttamento che offre agli attori della minaccia che lo hanno implementato un controllo sostanziale sul sistema già compromesso. Il Gon Malware è stato osservato come parte degli attacchi contro le organizzazioni del Kuwait che lavorano nei settori delle spedizioni e dei trasporti. Lo strumento fa parte di un intero set di minacce malware sviluppate da questo particolare gruppo di hacker. Alla maggior parte dei malware personalizzati sono stati assegnati nomi presi da personaggi della popolare serie di manga e anime "Hunter x Hunter" come Sakabota, Hisoka, Gon, Killua e Netero.

Il Gon Malware viene solitamente distribuito dopo che il computer di destinazione è già stato infettato con lo strumento Hisoka. Attraverso Gon Malware, gli hacker possono rilasciare o caricare file dal dispositivo interessato, eseguire la scansione di porte aperte su sistemi remoti, acquisire schermate arbitrarie, scoprire altri sistemi connessi alla stessa rete ed eseguire comandi tramite WMI o PSEXEC. Possono anche stabilire connessioni RDP (Remote Desktop Protocol) tramite l'utilità plink.

Gon Malware può essere controllato tramite un'utilità della riga di comando o un'applicazione desktop tramite un'interfaccia utente grafica (GUI). Inserendo il comando "-help" nell'utilità della riga di comando, gli hacker possono elencare tutte le azioni minacciose che possono essere eseguite da Gon Malware, una delle quali è "autodistruzione". La GUI offre la stessa funzionalità, ma per avviarla è necessario fornire una password. Dopo aver inserito il "92" per una password, viene generata una finestra pop-up con un'immagine di Gon e Killua dall'anime "Hunter x Hunter" come sfondo. Un aspetto che distingue la GUI dalla riga di comando è l'inclusione di un'opzione chiamata "Persona Use". Quando è abilitata, questa opzione disabilita una funzione di mascheramento che nasconde la GUI se il cursore dell'utente viene posizionato fuori dalla finestra del malware per più di 80 secondi. La GUI consente inoltre agli hacker di raschiare computer, gruppi e nomi utente dalle directory attive tramite lo strumento "dsquery".