BabaYaga

I den slaviske mytologien og folkloren er Baba Yaga-enheten representert som en ond gammel dame som kidnapper feil oppførsel av barn. Imidlertid, i verden av nettkriminalitet, er BabaYaga-malware en ganske fryktet trussel som har stort potensial til å forårsake en god del hodepine i målene.

Målretter mot en rekke nettsteder

Hovedformålet med BabaYaga-trusselen er å kompromittere nettsteder og lede trafikken deres til sider den inneholder, som er skjult. De aktuelle sidene ville deretter lede den kaprede trafikken til annonsekoblinger. Forfatterne av BabaYaga malware vil generere inntekter hver gang en bruker kjøper et produkt eller abonnerer på en tjeneste som ble markedsført til dem via dette lyssky nettverket. BabaYaga-trusselen er målrettet mot generiske PHP-nettsteder, så vel som Joomla, Drupal og WordPress-baserte nettsteder.

Har bakdør og spam motorkomponenter

BabaYaga-malware består av to hovedkomponenter - en spam-motor og en bakdør. For å motta kommandoer fra operatørene sine, vil BabaYaga skadelig programvare sørge for å koble seg til angripernes C & C (Command & Control) server. For å skjule den truende naturen til bakdørskomponenten, har forfatterne av BabaYaga-trusselen navngitt filene som inneholder den med navn som høres legitime ut. Takket være denne komponenten ville operatørene ha flere bakdører til rådighet. Når bakdørskomponenten i BabaYaga har fullført oppgavene sine, vil spam-motoren komme i arbeid. Spamotorkomponenten kan laste ned skadelig programvare fra angripernes C & C-server og injisere den i spesifikke kjerne WordPress-filer. BabaYaga-malware's spam-motor kan også sjekke om trusselen løper når en bruker besøker den kompromitterte siden. Det er også i stand til å finne ut om besøkende på nettstedene er ekte mennesker eller roboter. I tilfelle at besøkende blir bekreftet som et menneske, vil spam-motoren generere en linje med JavaScript-kode som vil sørge for at trafikken blir omdirigert til et tilknyttet nettsted som inneholder annonser. Hvis brukeren kjøper et produkt, vil forfatterne av BabaYaga-skadelig programvare få betalt.

Capabilities

BabaYaga-malware er også i stand til:

• Skanne det kompromitterte nettstedet og finne all annen skadelig programvare som kan være til stede.
• Fjerne den lokaliserte skadelige programvaren for å sikre at den er den eneste trusselen som finnes i systemet.
• Oppdaterer seg selv når en oppdatering er tilgjengelig.
• Installere seg selv igjen hvis det fjernes med et anti-malware-verktøy.
• Installerer WordPress.
• Oppdaterer WordPress.
• Laste opp enkle og komplekse filer til systemet.
• Propagerer seg selv til flere nettsteder.

Det er tydelig at BabaYaga-trusselen ikke skal tas lett på. Denne trusselen fungerer veldig lydløst, og den er i stand til å kapre trafikken veldig effektivt. At BabaYaga-trusselen er i stand til å fjerne annen skadelig programvare, er ganske interessant og veldig imponerende.