BabaYaga

In de Slavische mythologie en folklore wordt de entiteit Baba Yaga voorgesteld als een slechte oude dame die zich misdragende kinderen ontvoert. In de wereld van cybercriminaliteit is de BabaYaga-malware echter een nogal gevreesde bedreiging die een groot potentieel heeft om behoorlijk wat hoofdpijn te veroorzaken voor zijn doelen.

Richt zich op een verscheidenheid aan websites

Het belangrijkste doel van de BabaYaga-bedreiging is om websites te compromitteren en hun verkeer naar pagina's te leiden die verborgen zijn. De betreffende pagina's zouden het gekaapte verkeer vervolgens naar advertentielinks leiden. De auteurs van de BabaYaga-malware zouden inkomsten genereren elke keer dat een gebruiker een product koopt of zich abonneert op een dienst die via dit schaduwrijke netwerk aan hen werd aangeboden. De BabaYaga-dreiging richt zich op generieke PHP-sites, evenals op Joomla, Drupal en WordPress gebaseerde websites.

Heeft achterdeur- en spam-motoronderdelen

De BabaYaga-malware bestaat uit twee hoofdcomponenten: een spam-engine en een achterdeur. Om commando's van zijn operators te ontvangen, zorgt de BabaYaga-malware ervoor dat hij verbinding maakt met de C&C (Command & Control) -server van de aanvaller. Om de bedreigende aard van de backdoor-component te verbergen, hebben de auteurs van de BabaYaga-dreiging de bestanden met de naam genoemd met namen die legitiem klinken. Dankzij dit onderdeel zouden de operators meerdere achterdeuren tot hun beschikking hebben. Zodra de backdoor-component van BabaYaga zijn taken met succes heeft voltooid, gaat de spam-engine aan de slag. De spam-enginecomponent kan malware downloaden van de C & C-server van de aanvallers en deze in specifieke kern WordPress-bestanden injecteren. De spam-engine van de BabaYaga-malware kan ook controleren of de bedreiging wordt uitgevoerd wanneer een gebruiker de aangetaste pagina bezoekt. Het is ook in staat om erachter te komen of de bezoekers van de websites echte mensen of bots zijn. In het geval dat de bezoeker als een mens wordt bevestigd, zou de spam-engine een regel JavaScript-code genereren die ervoor zou zorgen dat het verkeer wordt doorgestuurd naar een aangesloten website die advertenties bevat. Als de gebruiker een product koopt, worden de auteurs van de BabaYaga-malware betaald.

mogelijkheden

De BabaYaga-malware is ook in staat om:

• De aangetaste site scannen en eventuele andere aanwezige malware lokaliseren.
• Het verwijderen van de gevonden malware om ervoor te zorgen dat dit de enige bedreiging op het systeem is.
• Werkt zichzelf bij zodra een update beschikbaar is.
• Herinstalleert zichzelf indien verwijderd met een anti-malware tool.
• WordPress installeren.
• WordPress bijwerken.
• Eenvoudige en complexe bestanden uploaden naar het systeem.
• Zich voortplantend naar extra websites.

Het is duidelijk dat de dreiging van BabaYaga niet lichtvaardig moet worden opgevat. Deze dreiging werkt zeer stil en kan verkeer zeer efficiënt kapen. Het feit dat de BabaYaga-bedreiging andere malware kan verwijderen, is vrij interessant en zeer indrukwekkend.