El malware StyleServ actúa como puerta trasera
StyleServ está clasificado como malware de tipo puerta trasera, que pertenece a una categoría de programas maliciosos diseñados para preparar un sistema para una mayor infiltración o ejecutar una segunda etapa de infección. Si bien el propósito preciso de StyleServ aún no está claro en este momento, es muy probable que sirva como herramienta preliminar para facilitar infecciones posteriores.
Como se mencionó anteriormente, la funcionalidad exacta de StyleServ sigue siendo incierta al momento de este informe. No obstante, es probable que este malware se utilice para escanear las redes en las que se ha infiltrado, en busca de información que pueda ayudar a avanzar el ataque, como identificar vulnerabilidades existentes dentro del objetivo.
Es crucial enfatizar que tales herramientas se emplean comúnmente en ataques dirigidos y versátiles que dependen del objetivo específico y sus vulnerabilidades de seguridad o la falta de ellas.
Se sabe que las infecciones StyleServ emplean la técnica de carga lateral de DLL. Esta técnica aprovecha el mecanismo de orden de búsqueda de DLL de Windows para explotar un programa legítimo y ejecutar una carga útil maliciosa, como StyleServ.
Esta puerta trasera se emplea en ataques pasivos que involucran monitoreo del sistema, que puede abarcar actividades como escaneo en busca de vulnerabilidades y puertos abiertos. Algunos ataques pasivos requieren una interacción mínima con el sistema objetivo, mientras que otros participan en un reconocimiento activo. Un ejemplo de esto último es el escaneo de puertos, cuyo objetivo es recopilar información sobre cómo funciona una red, centrándose en identificar posibles puntos débiles y vías para una infiltración más profunda.
Modo de operación de StyleServ
En las infecciones de StyleServ, una vez que se activa la DLL, inicia cinco subprocesos, cada uno asignado a un puerto diferente. Estos hilos intentan acceder periódicamente a un archivo llamado "stylers.bin" en intervalos de 60 segundos. La legitimidad del fichero se determina en función de su disponibilidad y de si cumple determinados criterios.
Si el archivo se considera válido, los subprocesos posteriores lo utilizan en las solicitudes de red. Los hilos sirven principalmente como versiones cifradas de "stylers.bin" y actúan como receptores para conexiones remotas, monitoreando el comportamiento de los sockets de red.
Es importante señalar que StyleServ muestra una conexión tenue con el grupo de malware Cur; El mismo usuario que subió una variante del cargador CurLu proporcionó una muestra de esta puerta trasera. Si se confirma la especulación sobre el vínculo de StyleServ con una infección CurLu, se establecería una conexión entre StyleServ y el mismo actor de amenazas que utiliza programas afiliados a la familia de malware Cur.
