Symchanger Malware

Symchanger Malware ist ein Massenkompromiss-Tool, das Bedrohungsakteuren kostenlos angeboten wird. Es wurde über eine Facebook-Gruppe beworben, die auch ein Tutorial-Video zur Verwendung der Bedrohung enthielt. Natürlich gibt es, wie es normalerweise der Fall ist, einen Haken - Symchanger enthält eine Backdoor-Funktionalität in seinem Code. Warum kann ein Bedrohungsakteur nicht die Bemühungen anderer Cyberkrimineller ausnutzen?

Symchanger Malware ist im Kern ein PHP-Code, der höchstwahrscheinlich aus vorhandenen Malware-Bedrohungen stammt. Die einzige sinnvolle Änderung ist die Einbeziehung der Hintertür. Die Malware verwendet während ihrer Ausführung verschiedene Ebenen der Verschleierung und Codeprüfung, um ihre wahre Natur zu verbergen. Die Aktivität von Symchanger beginnt mit der Suche nach gängigen Konfigurationsdateinamen wie WordPress, Joomla, Drupal und WHMCS. Wenn eine geeignete Datei gefunden wird, erstellt die Bedrohung einen Symlink zu einer '.txt'-Datei. Symchanger versucht, auf / etc / passwd zuzugreifen, und extrahiert bei Erfolg den Inhalt für eine Liste aller vorhandenen Benutzer auf dem jeweiligen Webserver. Anschließend wird eine foreach- Schleife ausgeführt, um die Anmeldeinformationen jedes Benutzers zu sammeln. Schließlich fügt Symchanger einen bedrohlichen Administrator in jede einzelne Datenbank ein, die erfolgreich eine Verbindung hergestellt hat.

Für den durchschnittlichen Bedrohungsakteur endet die Bedrohungsfunktionalität von Symchanger mit der Fähigkeit zur Kreuzkontamination. Im zugrunde liegenden Code der Bedrohung verbirgt sich jedoch eine separate Funktion: Die Malware-Bedrohung sendet fünf E-Mail-Nachrichten über den bereits gefährdeten Webserver an mehrere E-Mail-Adressen. Die Ersteller von Symchanger erhalten verschiedene vertrauliche Daten - gestohlene Anmeldeinformationen, Verzeichnislisten und die URL zu der spezifischen symchanger.php-Datei, die ausgeführt wurde, sodass sie unbefugten Zugriff auf die vom Malware-Tool gefährdeten Websites herstellen können.