Victory Backdoor

È stata rilevata una nuova minaccia backdoor nell'ambito di una campagna di spionaggio in corso contro entità nel sud-est asiatico. Il malware è stato chiamato Victory Backdoor dai ricercatori che ne hanno analizzato le funzionalità. Secondo le loro scoperte, Victory Backdoor è progettato per raccogliere informazioni, pur mantenendo un canale di accesso costante ai dispositivi compromessi. La funzionalità del malware include l'acquisizione di screenshot arbitrari, la manipolazione del file system: lettura, ridenominazione, creazione o eliminazione di file sul dispositivo, sottrazione di dati di primo livello dalle finestre aperte e spegnimento del computer se necessario.

Anni di sviluppo

Sebbene Victory Backdoor sia una minaccia malware unica, i ricercatori sono stati in grado di scoprire sovrapposizioni significative tra esso e i file inviati a VirusTotal nel 2018. Il modo in cui viene implementata la funzionalità backdoor è identico in modo efficace, ma le somiglianze non si fermano qui. Anche i file denominati MClient dal loro autore e la backdoor Victory utilizzano lo stesso formato nel loro metodo di connessione, oltre ad avere chiavi XOR identiche. è

È diventato subito evidente che i file MClient erano versioni di prova precedenti del malware che mostravano che i suoi creatori dannosi avevano impiegato anni per il suo sviluppo.

Le versioni precedenti includono un set esteso di funzionalità nefaste. Ad esempio, possedevano capacità di keylogging, qualcosa che manca a Victory Backdoor. Questo fatto ha portato i ricercatori alla conclusione che gli hacker avrebbero potuto decidere di suddividere le capacità delle loro versioni iniziali del malware in diversi moduli separati. Ciò rende più difficile il rilevamento e allo stesso tempo ostacola i tentativi di analisi. Pertanto, ulteriori moduli dannosi non ancora scoperti potrebbero benissimo essere utilizzati per intensificare gli attacchi contro gli obiettivi prescelti.