Threat Database Backdoors WaterDrop Malware

WaterDrop Malware

Il malware WaterDrop fa parte di diversi binari corrotti scoperti di recente utilizzati negli attacchi che infettano le installazioni Linux. La famiglia di malware è stata scoperta per la prima volta dai ricercatori infosec degli Alien Labs di AT&T. La loro analisi ha rivelato che tutte le minacce utilizzavano una backdoor open source denominata Prism come base sulla quale le modifiche venivano lentamente introdotte dagli aggressori.

Le capacità minacciose di WaterDrop sono sorprendentemente basilari. Allo stesso tempo, manca di sofisticate tecniche di anti-rilevamento o offuscamento. Infatti, i ricercatori affermano che WaterDrop contiene diverse caratteristiche facilmente identificabili. Per non parlare del fatto che comunica con l'infrastruttura Command-and-Control (C2, C&C) tramite HTTP in chiaro. Tuttavia, a giudicare dall'efficacia della campagna di attacco, poche persone avrebbero immaginato che fosse così.

Il dominio relativo alla campagna WaterDrop è stato registrato il 18 agosto 2017 e quasi 4 anni dopo è ancora online e operativo. Nonostante l'uso prolungato, WaterDrop è riuscito a raggiungere e mantenere un punteggio di rilevamento vicino allo zero, il che significa che è stato in grado di volare sotto il radar per anni senza essere notato. Finora, la spiegazione più plausibile è che l'alto tasso di successo sia stato raggiunto mantenendo la campagna di attacco su scala estremamente ridotta.

I criminali informatici dietro WaterDrop e la sua famiglia di malware associata hanno aggiornato lentamente il loro toolkit minaccioso e si prevede che continueranno le loro attività.

Tendenza

I più visti

Caricamento in corso...