StyleServ Malware fungerer som bakdør
StyleServ er klassifisert som en bakdør-type malware, som faller inn i en kategori av ondsinnede programmer designet for å forberede et system for ytterligere infiltrasjon eller utføre en andre fase av infeksjon. Selv om den nøyaktige hensikten med StyleServ foreløpig er uklar, er det høyst sannsynlig at den fungerer som et foreløpig verktøy for å lette etterfølgende infeksjoner.
Som tidligere nevnt er den nøyaktige funksjonaliteten til StyleServ fortsatt usikker på tidspunktet for denne rapporten. Ikke desto mindre er det sannsynlig at denne skadevaren brukes til å skanne nettverk den har infiltrert, og søker etter informasjon som kan hjelpe til med å fremme angrepet, for eksempel å identifisere eksisterende sårbarheter i målet.
Det er avgjørende å understreke at slike verktøy ofte brukes i allsidige, målrettede angrep som avhenger av det spesifikke målet og dets sikkerhetssårbarheter eller mangel på slike.
StyleServ-infeksjoner er kjent for å bruke DLL-sidelastingsteknikken. Denne teknikken utnytter Windows DLL-søkeordremekanismen for å utnytte et legitimt program for å utføre en ondsinnet nyttelast, for eksempel StyleServ.
Denne bakdøren brukes i passive angrep som involverer systemovervåking, som kan omfatte aktiviteter som skanning etter sårbarheter og åpne porter. Noen passive angrep krever minimal interaksjon med det målrettede systemet, mens andre engasjerer seg i aktiv rekognosering. Et eksempel på sistnevnte er portskanning, rettet mot å samle informasjon om hvordan et nettverk fungerer, med fokus på å identifisere potensielle svake punkter og veier for dypere infiltrasjon.
StyleServs driftsmodus
I StyleServs infeksjoner, når DLL er aktivert, starter den fem tråder, hver tildelt en annen port. Disse trådene forsøker med jevne mellomrom å få tilgang til en fil som heter "stylers.bin" med 60-sekunders intervaller. Filens legitimitet bestemmes basert på tilgjengeligheten og om den oppfyller visse kriterier.
Hvis filen anses som gyldig, brukes den i nettverksforespørsler av de påfølgende trådene. Trådene fungerer først og fremst som krypterte versjoner av "stylers.bin" og fungerer som reseptorer for eksterne tilkoblinger, overvåker nettverkskontaktatferd.
Det er viktig å merke seg at StyleServ viser en svak forbindelse til Cur malware-gruppen; en prøve av denne bakdøren ble levert av den samme brukeren som lastet opp en variant av CurLu-lasteren. Hvis spekulasjonene angående StyleServs kobling til en CurLu-infeksjon blir bekreftet, vil det etablere en forbindelse mellom StyleServ og den samme trusselaktøren ved å bruke programmer tilknyttet Cur malware-familien.
