Logiciel malveillant Symchanger

Symchanger Malware est un outil de compromis de masse offert gratuitement aux acteurs de la menace. Il a été promu via un groupe Facebook qui comprenait également un didacticiel vidéo sur la façon d'utiliser la menace. Bien sûr, comme c'est généralement le cas, il y a un hic - Symchanger inclut dans son code une fonctionnalité de porte dérobée. Après tout, pourquoi un acteur de la menace ne peut-il pas exploiter les efforts d'autres cybercriminels?

À la base, Symchanger Malware est un code PHP qui est très probablement extrait des menaces de logiciels malveillants existantes. La seule modification significative est l'inclusion de la porte dérobée. Le logiciel malveillant utilise plusieurs couches différentes d'obscurcissement et de vérification de code lors de son exécution pour cacher sa vraie nature. L'activité de Symchanger commence par une recherche de noms de fichiers de configuration populaires tels que WordPress, Joomla, Drupal et WHMCS. Lorsqu'un fichier approprié est découvert, la menace crée un lien symbolique vers un fichier «.txt». Symchanger tentera d'accéder à / etc / passwd, et en cas de succès, il extraira le contenu d'une liste de tous les utilisateurs existants sur le serveur Web particulier. Ensuite, il exécutera une boucle foreach pour récolter les informations d'identification de chaque utilisateur. Enfin, Symchanger injectera un utilisateur administrateur menaçant dans chaque base de données individuelle pour laquelle il a réussi à établir une connexion.

Pour l'acteur de menace moyen, la fonctionnalité menaçante de Symchanger se termine par la capacité de contamination croisée. Cependant, une capacité distincte est cachée dans le code sous-jacent de la menace: la menace du logiciel malveillant enverra cinq messages électroniques à plusieurs adresses électroniques via le serveur Web déjà compromis. Les créateurs de Symchanger recevront diverses données sensibles - informations d'identification volées, listes de répertoires et URL du fichier symchanger.php spécifique qui a été exécuté, leur permettant d'établir un accès non autorisé aux sites Web compromis par l'outil malveillant.