O malware StyleServ atua como backdoor
StyleServ é classificado como malware do tipo backdoor, que se enquadra em uma categoria de programas maliciosos projetados para preparar um sistema para infiltração adicional ou executar um segundo estágio de infecção. Embora o objectivo preciso do StyleServ ainda não esteja claro neste momento, é altamente provável que sirva como uma ferramenta preliminar para facilitar infecções subsequentes.
Conforme mencionado anteriormente, a funcionalidade exata do StyleServ permanece incerta no momento deste relatório. No entanto, é provável que este malware seja utilizado para verificar redes em que se infiltrou, em busca de informações que possam ajudar no avanço do ataque, como a identificação de vulnerabilidades existentes no alvo.
É crucial enfatizar que tais ferramentas são comumente empregadas em ataques versáteis e direcionados que dependem do alvo específico e de suas vulnerabilidades de segurança ou da falta delas.
Sabe-se que as infecções do StyleServ empregam a técnica de carregamento lateral de DLL. Essa técnica aproveita o mecanismo de ordem de pesquisa de DLL do Windows para explorar um programa legítimo para executar uma carga maliciosa, como o StyleServ.
Esse backdoor é empregado em ataques passivos que envolvem monitoramento de sistema, que pode abranger atividades como verificação de vulnerabilidades e portas abertas. Alguns ataques passivos requerem interação mínima com o sistema visado, enquanto outros envolvem-se em reconhecimento ativo. Um exemplo deste último é a varredura de portas, que visa coletar informações sobre o funcionamento de uma rede, com foco na identificação de potenciais pontos fracos e caminhos para infiltrações mais profundas.
Modo de operação do StyleServ
Nas infecções do StyleServ, uma vez ativada a DLL, ela inicia cinco threads, cada uma atribuída a uma porta diferente. Esses threads tentam periodicamente acessar um arquivo chamado “stylers.bin” em intervalos de 60 segundos. A legitimidade do arquivo é determinada com base na sua disponibilidade e se atende a determinados critérios.
Se o arquivo for considerado válido, ele será utilizado nas solicitações de rede pelos threads subsequentes. Os threads servem principalmente como versões criptografadas de “stylers.bin” e atuam como receptores para conexões remotas, monitorando o comportamento dos soquetes de rede.
É importante observar que o StyleServ apresenta uma conexão tênue com o grupo de malware Cur; uma amostra desse backdoor foi fornecida pelo mesmo usuário que carregou uma variante do carregador CurLu. Se a especulação sobre a ligação do StyleServ com uma infecção por CurLu for confirmada, isso estabeleceria uma conexão entre o StyleServ e o mesmo ator de ameaça usando programas afiliados à família de malware Cur.
