Οι ερευνητές της ESET ανακάλυψαν και ανέλυσαν μια υπό εξέλιξη κακόβουλη εκστρατεία, που διανέμει ένα backdoor μέσω torrents, χρησιμοποιώντας ως δόλωμα κορεάτικο τηλεοπτικό περιεχόμενο (ταινίες, σόου) και πολλές φορές παιχνίδια. Το backdoor έχει εξαπλωθεί μέσω ιστότοπων torrent της Νότιας Κορέας και της Κίνας. Το malware επιτρέπει στον εισβολέα να συνδέσει τον παραβιασμένο υπολογιστή σε ένα botnet και να τον ελέγχει από απόσταση.
Το συγκεκριμένο malware αποτελεί μια τροποποιημένη έκδοση του GoBot2, ενός δημόσια διαθέσιμου backdoor. Οι τροποποιήσεις στον πηγαίο κώδικα κυρίως αφορούν τεχνικές διαφυγής συγκεκριμένα για χρήση στη Νότια Κορέα. Καθώς η εκστρατεία στοχοποιεί ξεκάθαρα τη συγκεκριμένη χώρα, η ESET έχει δώσει την ονομασία GoBotKR στη συγκεκριμένη έκδοση Win64/GoBot2. Σύμφωνα με την τηλεμετρία ESET, το GoBotKR είναι ενεργό από το 2018. Η Νότια Κορέα είναι η χώρα που έχει δεχθεί τις περισσότερες επιθέσεις (80% των ανιχνεύσεων), ακολουθούμενη από την Κίνα (10%) και την Ταϊβάν (5%).
«Οι κυβερνοεγκληματίες που βρίσκονται πίσω από αυτή την εκστρατεία προσπαθούν να ξεγελάσουν τους χρήστες να εκτελέσουν το κακόβουλο λογισμικό με το να τοποθετούν στο περιεχόμενο των torrents παγίδες με κακόβουλα αρχεία που έχουν παραπλανητικά ονόματα αρχείων, επεκτάσεις και εικονίδια», λέει η ερευνήτρια της ESET, Zuzana Hromcova, που ανέλυσε το κακόβουλο λογισμικό. «Δεν θα προκύψει κακόβουλη ενέργεια απευθείας με το άνοιγμα του αρχείου MP4. Η παγίδα εδώ βρίσκεται στο ότι το αρχείο MP4 συχνά κρύβεται σε διαφορετικό κατάλογο και οι χρήστες μπορεί να συναντήσουν πρώτα το κακόβουλο αρχείο που το μιμείται».
Σύμφωνα με την ESET, το malware δεν είναι ιδιαίτερα σύνθετο τεχνικά. Ωστόσο, οι κυβερνοεγκληματίες πίσω από το GoBotKR χτίζουν ένα δίκτυο από bots, τα οποία μπορούν στη συνέχεια να χρησιμοποιηθούν για την εκτέλεση διαφόρων ειδών επιθέσεων DDoS. Επομένως, μετά την εκτέλεσή του, το GoBotKR συλλέγει πρώτα πληροφορίες συστήματος σχετικά με τον παραβιασμένο υπολογιστή, όπως ρυθμίσεις δικτύου, πληροφορίες έκδοσης λειτουργικών συστημάτων, CPU και GPU. Συγκεκριμένα, συλλέγει μια λίστα από εγκατεστημένα προϊόντα antivirus.
Αυτές οι πληροφορίες αποστέλλονται σε ένα διακομιστή C&C, που βοηθά τους εισβολείς να καθορίσουν ποια bots μπορούν να χρησιμοποιηθούν στις αντίστοιχες επιθέσεις. «Όλοι οι διακομιστές C&C που βρέθηκαν μέσα από τα δείγματα malware που αναλύθηκαν, εντοπίστηκαν να φιλοξενούνται στη Νότια Κορέα και να καταχωρούνται από το ίδιο άτομο», εξηγεί η Hromcova στην έρευνα της.
Το bot έχει πολλές δυνατότητες, όπως το να επιτρέπει την κατάχρηση του παραβιασμένου υπολογιστή, ή να δίνει στους χειριστές του botnet τη δυνατότητα να ελέγχουν ή να επεκτείνουν περαιτέρω το botnet. Επίσης, επιτρέπει την αποφυγή ανίχνευσης και την απόκρυψη από τον χρήστη. Μεταξύ άλλων υποστηριζόμενων εντολών είναι η δυνατότητα να κατευθύνει μια επίθεση DDoS σε συγκεκριμένα θύματα, η αντιγραφή του κακόβουλου λογισμικού σε συνδεδεμένα αφαιρούμενα μέσα ή σε δημόσιους φακέλους υπηρεσιών αποθήκευσης στο cloud (Dropbox, OneDrive, Google Drive), καθώς και η εμφύτευση torrents με το κακόβουλο αρχείο ως μέσο για την περαιτέρω επέκταση του botnet.
Από πλευράς έρευνας, το GoBotKR παρουσιάζει ιδιαίτερο ενδιαφέρον για τις τεχνικές διαφυγής του, οι οποίες προσαρμόστηκαν για να στοχεύσουν τη Νότια Κορέα. Συγκεκριμένα, το κακόβουλο λογισμικό σαρώνει διαδικασίες που εκτελούνται στο παραβιασμένο σύστημα προκειμένου να ανιχνεύσει συγκεκριμένα προϊόντα antivirus, μεταξύ των οποίων συγκαταλέγονται τα προϊόντα μιας εταιρείας λύσεων ασφάλειας της Νότιας Κορέας. Αν κάποιο από τα προϊόντα εντοπιστεί, τερματίζεται. Μια άλλη τεχνική διαφυγής εντοπίζει εργαλεία αναλύσεων που τρέχουν στο σύστημα, έχοντας και πάλι ως στόχο την ίδια εταιρεία ασφάλειας της Νότιας Κορέας. Στην τρίτη τεχνική αποφυγής, οι εισβολείς καταχρώνται νόμιμες νοτιοκορεάτικες ηλεκτρονικές πλατφόρμες για να προσδιορίσουν τη διεύθυνση IP του θύματος. «Συνολικά, οι τροποποιήσεις μας δείχνουν ότι οι επιτιθέμενοι προσαρμόζουν το κακόβουλο λογισμικό σε ένα συγκεκριμένο κοινό, ενώ παράλληλα καταβάλλουν επιπλέον προσπάθειες για να μην ανιχνευθούν», καταλήγει η Hromcova.
Περισσότερες λεπτομέρειες σχετικά με το GoBotKR και τις δυνατότητές του βρίσκονται στο blogpost της ESET «Malicious campaign targets South Korean users with backdoor-laced torrents» στο WeLiveSecurity.com.