Malware HTTPSnoop

Un val de atacuri cibernetice care vizează furnizorii de servicii de telecomunicații din Orientul Mijlociu a fost legat de implementarea unor noi tulpini de malware cunoscute sub numele de HTTPSnoop și PipeSnoop. Aceste instrumente amenințătoare le permit actorilor de amenințări să obțină control de la distanță asupra dispozitivelor compromise.

Programul malware HTTPSnoop folosește driverele și dispozitivele kernelului HTTP Windows pentru a executa conținut specific pe punctele finale infectate prin adrese URL HTTP(S). Pe de altă parte, PipeSnoop este proiectat să primească și să execute coduri shell arbitrare printr-o conductă numită.

Conform unui raport emis de cercetătorii de securitate cibernetică care au descoperit cu succes această campanie de atac, atât HTTPSnoop, cât și PipeSnoop sunt atribuite aceluiași grup de intruziune, identificat ca „ShroudedSnooper”. Cu toate acestea, cele două amenințări servesc unor scopuri operaționale distincte în ceea ce privește nivelul lor de infiltrare.

Malware HTTPSnoop efectuează acțiuni specializate pentru atacatori

HTTPSnoop folosește API-uri Windows de nivel scăzut pentru a monitoriza traficul HTTP(S) pe un dispozitiv infectat, vizând în mod special adrese URL predefinite. La detectarea acestor adrese URL, malware-ul continuă să decodifice datele codificate în base64 primite de la acestea și să le execute ca shellcode pe gazda compromisă.

Acest implant nesigur, activat pe sistemul țintă prin deturnarea DLL, cuprinde două componente cheie: în primul rând, codul de shell din etapa 2, responsabil pentru configurarea unui server Web backdoor prin apeluri la kernel și, în al doilea rând, configurarea acestuia.

HTTPSnoop stabilește o buclă de ascultare, așteptând cu răbdare solicitările HTTP primite și procesează eficient datele valide la sosirea acestora. În cazurile în care datele primite nu sunt valide, malware-ul returnează o redirecționare HTTP 302.

După decriptarea shellcode-ului primit, acesta este executat cu promptitudine, iar rezultatele execuției sunt transmise înapoi atacatorilor sub formă de blocuri de date codificate XOR-base64.

În plus, acest implant ia măsuri de precauție pentru a evita conflictele cu adresele URL configurate anterior pe server, asigurând o funcționare fără probleme fără ciocniri accidentale.

Experții au descoperit mai multe variante de malware HTTPSnoop

Există trei variante distincte de HTTPSnoop observate până acum, fiecare utilizând modele de ascultare URL unice. Prima variantă monitorizează solicitările generale bazate pe URL HTTP, în timp ce a doua variantă se concentrează pe adresele URL care imită Serviciul Web Microsoft Exchange. A treia variantă, între timp, vizează adrese URL care emulează aplicațiile LBS/OfficeTrack și de telefonie OfficeCore.

Aceste variante au fost descoperite în aprilie 2023 și, în special, cea mai recentă are un număr redus de adrese URL pe care le monitorizează, probabil să-și îmbunătățească capacitățile ascunse.

Imitând modelele URL legitime asociate cu Microsoft Exchange Web Services și OfficeTrack, aceste solicitări frauduloase seamănă îndeaproape cu traficul benign, ceea ce face extrem de dificil să le distingem de cererile legitime.

Peisajul în continuă evoluție al malware-ului reprezintă o amenințare formidabilă și persistentă în era noastră digitală. Malware-ul nu este doar o pacoste, ci un adversar formidabil capabil să facă ravagii asupra indivizilor, organizațiilor și chiar națiunilor. Vigilența, educația și măsurile solide de securitate cibernetică sunt cele mai bune apărări ale noastre împotriva acestei amenințări necruțătoare. A rămâne informat și a adopta cele mai bune practici în domeniul securității online nu este doar o alegere; este o necesitate pentru a ne proteja viețile digitale și a păstra integritatea lumii noastre interconectate.