BabaYaga
Dans la mythologie et le folklore slaves, l'entité Baba Yaga est représentée comme une vieille dame maléfique qui kidnappe des enfants qui se conduisent mal. Cependant, dans le monde de la cybercriminalité, le malware BabaYaga est une menace plutôt redoutée qui a un grand potentiel pour causer pas mal de maux de tête à ses cibles.
Table des matières
Cible une variété de sites Web
L'objectif principal de la menace BabaYaga est de compromettre les sites Web et de diriger leur trafic vers les pages qu'il contient, qui sont cachées. Les pages en question dirigeraient alors le trafic détourné vers des liens publicitaires. Les auteurs du malware BabaYaga généreraient des revenus à chaque fois qu'un utilisateur achète un produit ou s'abonne à un service qui leur a été commercialisé via ce réseau louche. La menace BabaYaga cible les sites PHP génériques, ainsi que les sites Web basés sur Joomla, Drupal et WordPress.
Dispose de composants de moteur de porte dérobée et de spam
Le malware BabaYaga se compose de deux composants principaux - un moteur de spam et une porte dérobée. Afin de recevoir les commandes de ses opérateurs, le malware BabaYaga s'assurera de se connecter au serveur C&C (Command & Control) des attaquants. Afin de masquer la nature menaçante du composant de porte dérobée, les auteurs de la menace BabaYaga ont nommé les fichiers qui le contiennent avec des noms qui semblent légitimes. Grâce à cette composante, les opérateurs disposeraient de plusieurs backdoors. Une fois que le composant de porte dérobée de BabaYaga a terminé ses tâches avec succès, le moteur de spam commencera à fonctionner. Le composant du moteur de spam est capable de télécharger des logiciels malveillants depuis le serveur C&C des attaquants et de les injecter dans des fichiers WordPress de base spécifiques. Le moteur de spam du malware BabaYaga peut également vérifier si la menace s'exécute lorsqu'un utilisateur visite la page compromise. Il peut également déterminer si les visiteurs des sites Web sont de vrais humains ou des robots. Dans le cas où le visiteur est confirmé en tant qu'être humain, le moteur de spam générerait une ligne de code JavaScript qui garantirait que le trafic est redirigé vers un site Web affilié contenant des publicités. Si l'utilisateur achète un produit, les auteurs du malware BabaYaga seront payés.
Capacités
Le malware BabaYaga est également capable de:
- Analyser le site compromis et localiser tout autre malware qui pourrait être présent.
- Suppression du malware localisé pour vous assurer qu'il s'agit de la seule menace présente sur le système.
- Se mettre à jour une fois qu'une mise à jour est disponible.
- Se réinstaller s'il est supprimé avec un outil anti-malware.
- Installer WordPress.
- Mise à jour de WordPress.
- Téléchargement de fichiers simples et complexes sur le système.
- Se propager à d'autres sites Web.
Il est clair que la menace BabaYaga ne doit pas être prise à la légère. Cette menace fonctionne de manière très silencieuse et est capable de détourner le trafic très efficacement. Le fait que la menace BabaYaga soit capable de supprimer d'autres logiciels malveillants est plutôt intéressant et très impressionnant.
