StyleServ-Malware fungiert als Hintertür

StyleServ wird als Malware vom Typ Backdoor klassifiziert, die in eine Kategorie von Schadprogrammen fällt, die ein System auf eine weitere Infiltration vorbereiten oder eine zweite Infektionsstufe ausführen sollen. Während der genaue Zweck von StyleServ derzeit noch unklar ist, ist es sehr wahrscheinlich, dass es als vorläufiges Instrument zur Erleichterung späterer Infektionen dient.

Wie bereits erwähnt, ist die genaue Funktionalität von StyleServ zum Zeitpunkt der Veröffentlichung dieses Berichts noch ungewiss. Dennoch ist es wahrscheinlich, dass diese Malware verwendet wird, um infiltrierte Netzwerke zu scannen und nach Informationen zu suchen, die bei der Durchführung des Angriffs hilfreich sein können, beispielsweise um bestehende Schwachstellen im Ziel zu identifizieren.

Es ist wichtig zu betonen, dass solche Tools häufig bei vielseitigen, gezielten Angriffen eingesetzt werden, die vom spezifischen Ziel und seinen Sicherheitslücken oder deren Fehlen abhängen.

StyleServ-Infektionen nutzen bekanntermaßen die DLL-Sideloading-Technik. Diese Technik nutzt den Windows-DLL-Suchreihenfolgemechanismus, um ein legitimes Programm zur Ausführung einer bösartigen Nutzlast auszunutzen, wie etwa StyleServ.

Diese Hintertür wird bei passiven Angriffen eingesetzt, die eine Systemüberwachung beinhalten, die Aktivitäten wie das Scannen nach Schwachstellen und das Öffnen von Ports umfassen kann. Einige passive Angriffe erfordern eine minimale Interaktion mit dem Zielsystem, während andere auf aktive Aufklärung abzielen. Ein Beispiel für Letzteres ist das Port-Scanning, das darauf abzielt, Informationen über die Funktionsweise eines Netzwerks zu sammeln, wobei der Schwerpunkt auf der Identifizierung potenzieller Schwachstellen und Wege für eine tiefere Infiltration liegt.

Funktionsweise von StyleServ

Bei StyleServ-Infektionen initiiert die DLL nach ihrer Aktivierung fünf Threads, die jeweils einem anderen Port zugewiesen sind. Diese Threads versuchen regelmäßig im Abstand von 60 Sekunden, auf eine Datei namens „stylers.bin“ zuzugreifen. Die Legitimität der Datei wird anhand ihrer Verfügbarkeit und der Erfüllung bestimmter Kriterien bestimmt.

Wenn die Datei als gültig betrachtet wird, wird sie von den nachfolgenden Threads in Netzwerkanforderungen verwendet. Die Threads dienen in erster Linie als verschlüsselte Versionen von „stylers.bin“ und fungieren als Rezeptoren für Remote-Verbindungen, indem sie das Verhalten von Netzwerk-Sockets überwachen.

Es ist wichtig zu beachten, dass StyleServ eine schwache Verbindung zur Cur-Malware-Gruppe aufweist; Ein Beispiel dieser Hintertür wurde von demselben Benutzer bereitgestellt, der eine Variante des CurLu-Loaders hochgeladen hat. Sollten sich die Spekulationen über den Zusammenhang von StyleServ mit einer CurLu-Infektion bestätigen, würde dies eine Verbindung zwischen StyleServ und demselben Bedrohungsakteur herstellen, der Programme verwendet, die mit der Cur-Malware-Familie verbunden sind.