StyleServ

StyleServ относится к типу вредоносного ПО, известному как бэкдор, который играет особую роль в сфере киберугроз. Вредоносное ПО типа «бэкдор» специально создано для выполнения двойной функции: во-первых, оно готовит скомпрометированную систему к более обширному проникновению, а во-вторых, облегчает выполнение последующих этапов заражения. Эти более поздние этапы часто включают загрузку и установку дополнительных небезопасных программ или компонентов в зараженную систему.

В случае со StyleServ точные цели, которые она преследует, в настоящее время окутаны неопределенностью. Тем не менее, весьма вероятно, что его основная функция — выступать в качестве подготовительного инструмента в контексте более широкой стратегии кибератак. Это говорит о том, что основная роль StyleServ заключается в создании необходимых условий для более продвинутых форм вредоносного ПО для проникновения и дальнейшего компрометации целевой системы.

Заражение StyleServ может иметь ужасные последствия

Весьма вероятно, что StyleServ играет решающую роль в контексте проникновения в сети, в первую очередь путем сканирования для выявления информации, которая может быть использована для дальнейшей атаки. Это включает в себя выявление существующих уязвимостей и другие соответствующие данные. Такие инструменты играют важную роль в целенаправленных атаках, особенно тех, которые характеризуются своей адаптивностью, поскольку они в значительной степени зависят от уникальных характеристик цели и ее состояния безопасности.

Известно, что заражение StyleServ использует метод, называемый неопубликованной загрузкой DLL. Этот метод использует преимущества механизма порядка поиска DLL Windows, позволяя вредоносному ПО использовать законную программу в качестве средства выполнения своей вредоносной полезной нагрузки, например StyleServ. Этот бэкдор обычно используется для пассивных атак, которые отличаются своей направленностью на мониторинг системы. Эта деятельность по мониторингу может включать в себя такие задачи, как сканирование уязвимостей и проверка портов.

При пассивных атаках уровень взаимодействия со скомпрометированной системой варьируется. Некоторые требуют минимального взаимодействия, другие занимаются активной разведкой. Ярким примером активной разведки является сканирование портов, целью которого является сбор информации о работе сети. В частности, он направлен на обнаружение имеющихся слабых мест и потенциальных путей более глубокого проникновения.

В рамках механизма заражения StyleServ после выполнения DLL инициирует создание пяти потоков, каждый из которых назначается отдельному порту. Эти потоки периодически пытаются получить доступ к файлу «stylers.bin» с интервалом в 60 секунд. Срок действия файла определяется на основе его доступности и соответствия определенным критериям.

Если файл считается действительным, он используется в сетевых запросах для последующих потоков. Основная цель этих потоков — мониторинг активности в сетевых сокетах. Следовательно, эти потоки функционируют как зашифрованные версии «stylers.bin» и служат приемниками удаленных подключений.

Типичные векторы заражения, используемые киберпреступниками

Конкретный метод распространения StyleServ в настоящее время остается нераскрытым. Распространение вредоносного ПО обычно опирается на тактику фишинга и социальной инженерии, особенно среди сложных злоумышленников, которые используют целевые атаки и приманки.

Эти угрожающие программы часто замаскированы внутри обычного программного обеспечения или мультимедийных файлов или включены в их состав. Они могут проявляться в различных форматах, включая исполняемые файлы, архивы, такие как ZIP или RAR, документы, код JavaScript и многое другое.

Наиболее распространенные методы распространения включают в себя: включение мошеннических вложений или ссылок в спам-сообщения электронной почты, прямые сообщения, личные сообщения или текстовые сообщения; скрытые и обманчивые загрузки из автомобиля; онлайн-тактика; вредоносная реклама, которая включает в себя вводящие в заблуждение рекламные кампании; сомнительные источники загрузки, такие как неофициальные и бесплатные веб-сайты хостинга файлов и одноранговые сети обмена файлами; инструменты активации незаконного программного обеспечения, такие как «взломщики»; и поддельные обновления программного обеспечения.

Кроме того, некоторые вредоносные программы обладают способностью самораспространяться через локальные сети и съемные носители, включая USB-накопители и внешние жесткие диски. Это подчеркивает разнообразие стратегий, используемых киберпреступниками для распространения вредоносного ПО.