StyleServ Malware fungerer som bagdør
StyleServ er klassificeret som en bagdør-lignende malware, som falder ind under en kategori af ondsindede programmer designet til at forberede et system til yderligere infiltration eller udføre en anden fase af infektion. Selvom det præcise formål med StyleServ forbliver uklart på nuværende tidspunkt, er det højst sandsynligt, at det tjener som et foreløbigt værktøj til at lette efterfølgende infektioner.
Som tidligere nævnt forbliver den nøjagtige funktionalitet af StyleServ usikker på tidspunktet for denne rapport. Ikke desto mindre er det sandsynligt, at denne malware bliver brugt til at scanne netværk, den har infiltreret, ved at søge efter information, der kan hjælpe med at fremme angrebet, såsom at identificere eksisterende sårbarheder i målet.
Det er afgørende at understrege, at sådanne værktøjer almindeligvis anvendes i alsidige, målrettede angreb, der afhænger af det specifikke mål og dets sikkerhedssårbarheder eller mangel på samme.
StyleServ-infektioner er kendt for at anvende DLL-sideindlæsningsteknikken. Denne teknik udnytter Windows DLL-søgeordremekanismen til at udnytte et legitimt program til at udføre en ondsindet nyttelast, såsom StyleServ.
Denne bagdør bruges i passive angreb, der involverer systemovervågning, som kan omfatte aktiviteter som scanning for sårbarheder og åbne porte. Nogle passive angreb kræver minimal interaktion med det målrettede system, mens andre engagerer sig i aktiv rekognoscering. Et eksempel på sidstnævnte er portscanning, der har til formål at indsamle information om, hvordan et netværk fungerer, med fokus på at identificere potentielle svage punkter og veje til dybere infiltration.
StyleServs funktionsmåde
I StyleServ's infektioner, når DLL'en er aktiveret, starter den fem tråde, hver tildelt til en anden port. Disse tråde forsøger med jævne mellemrum at få adgang til en fil med navnet "stylers.bin" med 60-sekunders intervaller. Filens legitimitet bestemmes ud fra dens tilgængelighed, og om den opfylder visse kriterier.
Hvis filen anses for gyldig, bruges den i netværksanmodninger af de efterfølgende tråde. Trådene fungerer primært som krypterede versioner af "stylers.bin" og fungerer som receptorer for fjernforbindelser og overvåger netværkssockets adfærd.
Det er vigtigt at bemærke, at StyleServ udviser en svag forbindelse til Cur malware-gruppen; en prøve af denne bagdør blev leveret af den samme bruger, som uploadede en variant af CurLu-læsseren. Hvis spekulationerne vedrørende StyleServs link til en CurLu-infektion bekræftes, ville det etablere en forbindelse mellem StyleServ og den samme trusselsaktør ved hjælp af programmer tilknyttet Cur malware-familien.
