BabaYaga

W słowiańskiej mitologii i folklorze istota Baby-Jagi jest przedstawiana jako zła starsza dama, która porywa źle zachowujące się dzieci. Jednak w świecie cyberprzestępczości szkodliwe oprogramowanie BabaYaga jest raczej budzącym obawę zagrożeniem, które ma ogromny potencjał do spowodowania sporego bólu głowy.

Kieruje na różne strony internetowe

Głównym celem zagrożenia BabaYaga jest atakowanie stron internetowych i kierowanie ich ruchu do stron w nich zawartych, które są ukryte. Strony, o których mowa, kierowałyby następnie przechwycony ruch do linków reklamowych. Autorzy szkodliwego oprogramowania BabaYaga generują przychody za każdym razem, gdy użytkownik kupuje produkt lub subskrybuje usługę, która została mu sprzedana za pośrednictwem tej podejrzanej sieci. Zagrożenie BabaYaga atakuje ogólne strony PHP, a także witryny oparte na Joomla, Drupal i WordPress.

Ma elementy Backdoor i Spam Engine

Złośliwe oprogramowanie BabaYaga składa się z dwóch głównych komponentów - silnika spamu i backdoora. Aby otrzymywać polecenia od swoich operatorów, złośliwe oprogramowanie BabaYaga upewni się, że połączy się z serwerem C&C (Command & Control) atakującego. Aby ukryć groźną naturę komponentu backdoor, autorzy zagrożenia BabaYaga nadali plikom zawierającym je nazwy o prawidłowych nazwach. Dzięki temu komponentowi operatorzy mieliby do dyspozycji wiele tylnych drzwi. Po pomyślnym zakończeniu przez backdoora komponentu BabaYaga silnika antyspamowego zacznie działać. Komponent silnika spamu może pobierać złośliwe oprogramowanie z serwera C&C atakujących i wstrzykiwać je do określonych podstawowych plików WordPress. Silnik spamu złośliwego oprogramowania BabaYaga jest również w stanie sprawdzić, czy zagrożenie działa, gdy użytkownik odwiedza zaatakowaną stronę. Jest również w stanie dowiedzieć się, czy odwiedzający strony są prawdziwymi ludźmi lub botami. W przypadku, gdy użytkownik zostanie potwierdzony jako człowiek, silnik spamu wygeneruje wiersz kodu JavaScript, który zapewni przekierowanie ruchu do witryny stowarzyszonej zawierającej reklamy. Jeśli użytkownik kupi produkt, autorzy złośliwego oprogramowania BabaYaga otrzymają zapłatę.

Możliwości

Złośliwe oprogramowanie BabaYaga może również:

• Skanowanie zaatakowanej witryny i zlokalizowanie innego złośliwego oprogramowania, które może być obecne.
• Usuwanie zlokalizowanego złośliwego oprogramowania, aby upewnić się, że jest to jedyne zagrożenie obecne w systemie.
• Aktualizowanie się, gdy aktualizacja będzie dostępna.
• Ponowna instalacja po usunięciu za pomocą narzędzia anty-malware.
• Instalowanie WordPress.
• Aktualizacja WordPress.
• Przesyłanie prostych i złożonych plików do systemu.
• Propagowanie się na dodatkowych stronach internetowych.

Oczywiste jest, że zagrożenia BabaYaga nie należy lekceważyć. Zagrożenie to działa bardzo cicho i jest w stanie bardzo skutecznie przejmować ruch. Fakt, że zagrożenie BabaYaga jest w stanie usunąć inne złośliwe oprogramowanie, jest dość interesujące i bardzo imponujące.