Symchanger Malware

Symchanger Malware è uno strumento di compromissione di massa che viene offerto gratuitamente agli autori delle minacce. È stato promosso tramite un gruppo Facebook che includeva anche un video tutorial su come utilizzare la minaccia. Naturalmente, come di solito accade, c'è un problema: Symchanger include nel suo codice una funzionalità backdoor. Dopo tutto, perché un attore di minacce non può sfruttare gli sforzi di altri criminali informatici?

In sostanza, Symchanger Malware è un codice PHP che molto probabilmente viene preso dalle minacce malware esistenti. L'unica modifica significativa è l'inclusione backdoor. Il malware utilizza diversi livelli di offuscamento e controlli del codice durante la sua esecuzione per nascondere la sua vera natura. L'attività di Symchanger inizia con una ricerca di nomi di file di configurazione popolari come WordPress, Joomla, Drupal e WHMCS. Quando viene rilevato un file adatto, la minaccia crea un collegamento simbolico a un file ".txt". Symchanger tenterà di accedere a / etc / passwd e, in caso di successo, estrarrà il contenuto per un elenco di tutti gli utenti esistenti sul particolare server Web. Quindi, eseguirà un ciclo foreach per raccogliere le credenziali di ogni utente. Infine, Symchanger inserirà un minaccioso utente amministratore in ogni singolo database che ha stabilito una connessione con successo.

Per l'attore di minacce medio, la funzionalità minacciosa di Symchanger termina con la capacità di contaminazione incrociata. Tuttavia, nascosta nel codice sottostante della minaccia è un'abilità separata: la minaccia malware invierà cinque messaggi di posta elettronica a più indirizzi di posta elettronica attraverso il server Web già compromesso. I creatori di Symchanger riceveranno vari dati sensibili: credenziali rubate, elenchi di directory e l'URL del file symchanger.php specifico che è stato eseguito, consentendo loro di stabilire un accesso non autorizzato ai siti Web compromessi dallo strumento malware.