WaterDrop-malware

De WaterDrop-malware maakt deel uit van verschillende recent ontdekte beschadigde binaire bestanden die worden gebruikt bij aanvallen die Linux-installaties infecteren. De malwarefamilie werd voor het eerst ontdekt door de infosec-onderzoekers van AT&T's Alien Labs. Uit hun analyse bleek dat alle bedreigingen een open-source achterdeur genaamd Prism gebruikten als basis waarop de aanvallers langzaam wijzigingen aanbrachten.

De bedreigende mogelijkheden van WaterDrop zijn verrassend eenvoudig. Tegelijkertijd mist het geavanceerde anti-detectie- of verduisteringstechnieken. Inderdaad, de onderzoekers stellen dat WaterDrop verschillende gemakkelijk herkenbare kenmerken bevat. Om nog maar te zwijgen van het feit dat het communiceert met de Command-and-Control (C2, C&C) infrastructuur via HTTP in platte tekst. Echter, te oordelen naar de effectiviteit van de aanvalscampagne, zouden maar weinig mensen hebben geraden dat dit het geval is.

Het domein met betrekking tot de WaterDrop-campagne werd geregistreerd op 18 augustus 2017 en bijna 4 jaar later is het nog steeds online en operationeel. Ondanks het langdurige gebruik is WaterDrop erin geslaagd een detectiescore van bijna nul te behalen en te behouden, wat betekent dat het jarenlang onder de radar heeft kunnen vliegen zonder opgemerkt te worden. De meest plausibele verklaring tot nu toe is dat het hoge slagingspercentage is bereikt door de aanvalscampagne op een extreem kleine schaal te houden.

De cybercriminelen achter WaterDrop en de bijbehorende malwarefamilie hebben hun bedreigende toolkit langzaam bijgewerkt en zullen naar verwachting hun activiteiten voortzetten.