StyleServ Malware agisce come backdoor

StyleServ è classificato come malware di tipo backdoor, che rientra in una categoria di programmi dannosi progettati per preparare un sistema per un'ulteriore infiltrazione o eseguire una seconda fase dell'infezione. Anche se lo scopo preciso di StyleServ al momento non è chiaro, è molto probabile che serva come strumento preliminare per facilitare le infezioni successive.

Come accennato in precedenza, l'esatta funzionalità di StyleServ rimane incerta al momento della stesura di questo rapporto. Tuttavia, è probabile che questo malware venga utilizzato per scansionare le reti in cui si è infiltrato, alla ricerca di informazioni che possano aiutare a portare avanti l'attacco, come l'identificazione delle vulnerabilità esistenti nel bersaglio.

È fondamentale sottolineare che tali strumenti sono comunemente impiegati in attacchi versatili e mirati che dipendono dal bersaglio specifico e dalle sue vulnerabilità o dalla loro mancanza di sicurezza.

È noto che le infezioni StyleServ utilizzano la tecnica di caricamento laterale DLL. Questa tecnica sfrutta il meccanismo dell'ordine di ricerca delle DLL di Windows per sfruttare un programma legittimo per eseguire un payload dannoso, come StyleServ.

Questa backdoor viene utilizzata negli attacchi passivi che implicano il monitoraggio del sistema, che può comprendere attività come la scansione delle vulnerabilità e delle porte aperte. Alcuni attacchi passivi richiedono un’interazione minima con il sistema preso di mira, mentre altri si impegnano in una ricognizione attiva. Un esempio di quest’ultimo è il port scanning, volto a raccogliere informazioni su come funziona una rete, con particolare attenzione all’identificazione di potenziali punti deboli e percorsi per un’infiltrazione più profonda.

Modalità di funzionamento di StyleServ

Nelle infezioni di StyleServ, una volta attivata la DLL, vengono avviati cinque thread, ciascuno assegnato a una porta diversa. Questi thread tentano periodicamente di accedere a un file denominato "stylers.bin" a intervalli di 60 secondi. La legittimità del file è determinata in base alla sua disponibilità e se soddisfa determinati criteri.

Se il file è considerato valido, viene utilizzato nelle richieste di rete dai thread successivi. I thread servono principalmente come versioni crittografate di "stylers.bin" e fungono da recettori per connessioni remote, monitorando i comportamenti dei socket di rete.

È importante notare che StyleServ mostra una debole connessione con il gruppo di malware Cur; un campione di questa backdoor è stato fornito dallo stesso utente che ha caricato una variante del caricatore CurLu. Se le speculazioni sul collegamento di StyleServ con un'infezione da CurLu fossero confermate, si creerebbe una connessione tra StyleServ e lo stesso autore di minacce che utilizza programmi affiliati alla famiglia di malware Cur.