HTTPSnoop Malware

En våg av cyberattacker riktade mot leverantörer av telekommunikationstjänster i Mellanöstern har kopplats till spridningen av nya skadliga stammar som kallas HTTPSnoop och PipeSnoop. Dessa hotfulla verktyg gör det möjligt för hotaktörer att få fjärrkontroll över komprometterade enheter.

Den skadliga HTTPSnoop-programvaran utnyttjar Windows HTTP-kärndrivrutiner och -enheter för att exekvera specifikt innehåll på infekterade slutpunkter via HTTP(S)-URL:er. Å andra sidan är PipeSnoop designad för att ta emot och exekvera godtyckliga skalkoder genom en namngiven pipe.

Enligt en rapport utfärdad av cybersäkerhetsforskare som framgångsrikt avslöjat denna attackkampanj, hänförs både HTTPSnoop och PipeSnoop till samma intrångsgrupp, identifierad som 'ShroudedSnooper'. De två hoten tjänar dock distinkta operativa syften när det gäller deras infiltrationsnivå.

HTTPSnoop Malware utför specialiserade åtgärder för angriparna

HTTPSnoop använder Windows API:er på låg nivå för att övervaka HTTP(S)-trafik på en infekterad enhet, specifikt inriktad på fördefinierade webbadresser. När dessa webbadresser detekteras fortsätter skadlig programvara att avkoda inkommande base64-kodad data från dem och exekvera den som en skalkod på den komprometterade värden.

Detta osäkra implantat, aktiverat på målsystemet via DLL-kapning, består av två nyckelkomponenter: för det första steg 2-skalkoden, ansvarig för att sätta upp en bakdörrswebbserver genom kärnanrop, och för det andra dess konfiguration.

HTTPSnoop upprättar en lyssningsslinga, väntar tålmodigt på inkommande HTTP-förfrågningar, och bearbetar effektivt giltig data vid ankomsten. I fall där inkommande data inte är giltig returnerar skadlig programvara en HTTP 302-omdirigering.

Vid dekryptering av den mottagna skalkoden exekveras den omedelbart och exekveringsresultaten sänds tillbaka till angriparna i form av base64-kodade XOR-kodade datablock.

Dessutom vidtar detta implantat försiktighetsåtgärder för att undvika konflikter med tidigare konfigurerade URL:er på servern, vilket säkerställer smidig drift utan oavsiktliga sammanstötningar.

Experter har upptäckt flera HTTPSnoop Malware-varianter

Det finns tre distinkta varianter av HTTPSnoop som har observerats hittills med var och en med unika URL-lyssningsmönster. Den första varianten övervakar allmänna HTTP URL-baserade förfrågningar, medan den andra varianten fokuserar på URL:er som efterliknar Microsoft Exchange Web Service. Den tredje varianten riktar sig under tiden till webbadresser som emulerar OfficeCores LBS/OfficeTrack och telefoniapplikationer.

Dessa varianter upptäcktes i april 2023, och framför allt har den senaste varianten ett minskat antal webbadresser som den övervakar, vilket sannolikt förbättrar dess smygförmåga.

Genom att imitera legitima URL-mönster förknippade med Microsoft Exchange Web Services och OfficeTrack, liknar dessa bedrägliga förfrågningar mycket godartad trafik, vilket gör det oerhört svårt att skilja dem från legitima förfrågningar.

Det ständigt föränderliga landskapet av skadlig programvara utgör ett formidabelt och ihållande hot i vår digitala tidsålder. Skadlig programvara är inte bara en olägenhet utan en formidabel motståndare som kan orsaka förödelse för individer, organisationer och till och med nationer. Vaksamhet, utbildning och robusta cybersäkerhetsåtgärder är våra bästa försvar mot detta obevekliga hot. Att hålla sig informerad och använda bästa praxis inom onlinesäkerhet är inte bara ett val; det är en nödvändighet för att skydda våra digitala liv och bevara integriteten i vår sammanlänkade värld.