WaterDrop Malware

WaterDrop -skadlig programvara är en del av flera nyligen upptäckta skadade binärer som används i attacker som infekterar Linux -installationer. Malwarefamiljen avslöjades först av infosec -forskarna vid AT & Ts Alien Labs. Deras analys avslöjade att alla hot använde en bakdörr med öppen källkod som heter Prism som en grund för vilken modifieringarna långsamt infördes av angriparna.

De hotfulla egenskaperna hos WaterDrop är förvånansvärt grundläggande. Samtidigt saknar den några sofistikerade tekniker för att upptäcka eller skymma. Faktum är att forskarna konstaterar att WaterDrop innehåller flera lätt identifierbara egenskaper. För att inte tala om att den kommunicerar med Command-and-Control (C2, C&C) -infrastrukturen via vanlig text HTTP. Men av attackkampanjens effektivitet att döma hade få människor gissat att så är fallet.

Domänen relaterad till WaterDrop -kampanjen registrerades den 18 augusti 2017 och nästan 4 år senare är den fortfarande online och operativ. Trots den långvariga användningen har WaterDrop lyckats uppnå och behålla ett detekteringsresultat nära noll, vilket betyder att det har kunnat flyga under radarn i flera år utan att märkas. Hittills är den mest troliga förklaringen att den höga framgångsgraden nåddes genom att hålla attackkampanjen i en extremt liten skala.

Cyberkriminella bakom WaterDrop och dess associerade malware -familj har uppdaterat sitt hotfulla verktygslåda långsamt och förväntas fortsätta sin verksamhet.