Malware HTTPSnoop

Një valë sulmesh kibernetike që synojnë ofruesit e shërbimeve të telekomunikacionit në Lindjen e Mesme është lidhur me vendosjen e llojeve të reja malware të njohura si HTTPSnoop dhe PipeSnoop. Këto mjete kërcënuese u mundësojnë aktorëve të kërcënimit të fitojnë kontroll në distancë mbi pajisjet e komprometuara.

Malware HTTPSnoop përdor drejtuesit dhe pajisjet e kernelit HTTP të Windows për të ekzekutuar përmbajtje specifike në pikat fundore të infektuara nëpërmjet URL-ve HTTP(S). Nga ana tjetër, PipeSnoop është krijuar për të marrë dhe ekzekutuar kode arbitrare të predhave përmes një tubi të emërtuar.

Sipas një raporti të lëshuar nga studiues të sigurisë kibernetike që zbuluan me sukses këtë fushatë sulmi, si HTTPSnoop ashtu edhe PipeSnoop i atribuohen të njëjtit grup ndërhyrjeje, të identifikuar si 'ShroudedSnooper'. Megjithatë, të dy kërcënimet shërbejnë për qëllime të ndryshme operacionale për sa i përket nivelit të tyre të infiltrimit.

Malware HTTPSnoop kryen veprime të specializuara për sulmuesit

HTTPSnoop përdor API të nivelit të ulët të Windows për të monitoruar trafikun HTTP(S) në një pajisje të infektuar, duke synuar në mënyrë specifike URL-të e paracaktuara. Me zbulimin e këtyre URL-ve, malware vazhdon të deshifrojë të dhënat hyrëse të koduara me bazë64 prej tyre dhe t'i ekzekutojë ato si një kod shell në hostin e komprometuar.

Ky implant i pasigurt, i aktivizuar në sistemin e synuar nëpërmjet rrëmbimit të DLL, përbëhet nga dy komponentë kryesorë: së pari, shellcode e fazës 2, përgjegjëse për vendosjen e një serveri Ueb-door përmes thirrjeve të kernelit dhe së dyti, konfigurimi i tij.

HTTPSnoop krijon një lak dëgjimi, duke pritur me durim kërkesat hyrëse HTTP dhe përpunon në mënyrë efikase të dhënat e vlefshme pas mbërritjes së tyre. Në rastet kur të dhënat hyrëse nuk janë të vlefshme, malware kthen një ridrejtim HTTP 302.

Pas deshifrimit të shellcodit të marrë, ai ekzekutohet menjëherë dhe rezultatet e ekzekutimit u transmetohen sulmuesve në formën e blloqeve të të dhënave të koduara me XOR të koduar me bazë 64.

Për më tepër, ky implant merr masa paraprake për të shmangur konfliktet me URL-të e konfiguruara më parë në server, duke siguruar funksionim të qetë pa përplasje të paqëllimshme.

Ekspertët kanë zbuluar disa variante HTTPSnoop malware

Ekzistojnë tre variante të dallueshme të HTTPSnoop të vëzhguara deri më tani, ku secili përdor modele unike të dëgjimit të URL-ve. Varianti i parë monitoron kërkesat e përgjithshme të bazuara në URL HTTP, ndërsa varianti i dytë fokusohet në URL-të që imitojnë Shërbimin Ueb të Microsoft Exchange. Varianti i tretë, ndërkohë, synon URL-të që imitojnë aplikacionet LBS/OfficeTrack të OfficeCore dhe telefonisë.

Këto variante u zbuluan në prill 2023, dhe veçanërisht, më i fundit ka një numër të reduktuar të URL-ve që monitoron, që ka të ngjarë të përmirësojë aftësitë e tij të fshehta.

Duke imituar modelet legjitime të URL-ve të lidhura me Shërbimet e Uebit të Microsoft Exchange dhe OfficeTrack, këto kërkesa mashtruese ngjajnë shumë me trafikun e mirë, duke e bërë jashtëzakonisht të vështirë dallimin e tyre nga kërkesat legjitime.

Peizazhi gjithnjë në zhvillim i malware përbën një kërcënim të frikshëm dhe të vazhdueshëm në epokën tonë dixhitale. Malware nuk është thjesht një shqetësim, por një kundërshtar i frikshëm i aftë për të bërë kërdi tek individët, organizatat dhe madje edhe kombet. Vigjilenca, edukimi dhe masat e forta të sigurisë kibernetike janë mbrojtja jonë më e mirë kundër këtij kërcënimi të pamëshirshëm. Qëndrimi i informuar dhe miratimi i praktikave më të mira në sigurinë në internet nuk është vetëm një zgjedhje; është një domosdoshmëri për të mbrojtur jetën tonë dixhitale dhe për të ruajtur integritetin e botës sonë të ndërlidhur.