Symchanger Malware

O Symchanger Malware é uma ferramenta de comprometimento em massa que está sendo oferecida gratuitamente aos agentes de ameaças. Ele foi promovido por meio de um grupo do Facebook que também incluiu um vídeo tutorial sobre como usar a ameaça. Claro, como geralmente é o caso, há um problema - o Symchanger inclui em seu código uma funcionalidade de backdoor. Afinal, por que um agente de ameaça não pode explorar os esforços de outros cibercriminosos?

Em sua essência, o Symchanger Malware é um código PHP que provavelmente foi retirado de ameaças de malware existentes. A única modificação significativa é a inclusão da porta dos fundos. O malware emprega várias camadas diferentes de ocultação e verificações de código durante sua execução para ocultar sua verdadeira natureza. A atividade do Symchanger começa com uma pesquisa por nomes de arquivos de configuração populares, como WordPress, Joomla, Drupal e WHMCS. Quando um arquivo adequado é descoberto, a ameaça cria um link simbólico para um arquivo '.txt'. O Symchanger tentará acessar/etc/passwd e, se for bem-sucedido, extrairá o conteúdo de uma lista de todos os usuários existentes no servidor Web específico. Em seguida, ele executará um loop foreach para coletar as credenciais de cada usuário. Finalmente, o Symchanger injetará um usuário administrador ameaçador em cada banco de dados individual com o qual tenha estabelecido uma conexão com sucesso.

Para o ator de ameaça comum, a funcionalidade ameaçadora do Symchanger termina com a capacidade de contaminação cruzada. No entanto, oculto dentro do código subjacente da ameaça está uma capacidade separada - a ameaça de malware enviará cinco mensagens de e-mail para vários endereços de e-mail através do servidor Web já comprometido. Os criadores do Symchanger receberão vários dados confidenciais - credenciais roubadas, listas de diretórios e a URL do arquivo symchanger.php específico que foi executado, permitindo-lhes estabelecer acesso não autorizado aos sites comprometidos pela ferramenta de malware.