Malware Symchanger
Symchanger Malware es una herramienta de compromiso masivo que se ofrece a los actores de amenazas de forma gratuita. Se promocionó a través de un grupo de Facebook que también incluyó un video tutorial sobre cómo usar la amenaza. Por supuesto, como suele ser el caso, hay un problema: Symchanger incluye en su código una funcionalidad de puerta trasera. Después de todo, ¿por qué un actor de amenazas no puede explotar los esfuerzos de otros ciberdelincuentes?
En esencia, Symchanger Malware es un código PHP que probablemente se extrae de las amenazas de malware existentes. La única modificación significativa es la inclusión de puerta trasera. El malware emplea varias capas diferentes de ofuscación y verificaciones de código durante su ejecución para ocultar su verdadera naturaleza. La actividad de Symchanger comienza con una búsqueda de nombres de archivos de configuración populares como WordPress, Joomla, Drupal y WHMCS. Cuando se descubre un archivo adecuado, la amenaza crea un enlace simbólico a un archivo '.txt'. Symchanger intentará acceder a / etc / passwd y, si tiene éxito, extraerá el contenido para obtener una lista de todos los usuarios existentes en el servidor web en particular. Luego, ejecutará un bucle foreach para recolectar las credenciales de cada usuario. Finalmente, Symchanger inyectará un usuario administrador amenazante en cada base de datos individual que haya establecido una conexión con éxito.
Para el actor de amenazas promedio, la funcionalidad amenazante de Symchanger termina con la capacidad de contaminación cruzada. Sin embargo, oculta dentro del código subyacente de la amenaza hay una capacidad separada: la amenaza de malware enviará cinco mensajes de correo electrónico a varias direcciones de correo electrónico a través del servidor web ya comprometido. Los creadores de Symchanger recibirán varios datos confidenciales: credenciales robadas, listados de directorios y la URL del archivo symchanger.php específico que se ha ejecutado, lo que les permitirá establecer un acceso no autorizado a los sitios web comprometidos por la herramienta de malware.
