StyleServ Malware fungerar som bakdörr
StyleServ klassificeras som skadlig programvara av bakdörrstyp, som faller in i en kategori av skadliga program utformade för att förbereda ett system för ytterligare infiltration eller utföra ett andra steg av infektion. Även om det exakta syftet med StyleServ för närvarande är oklart, är det mycket troligt att det fungerar som ett preliminärt verktyg för att underlätta efterföljande infektioner.
Som tidigare nämnts är den exakta funktionen hos StyleServ fortfarande osäker vid tidpunkten för denna rapport. Icke desto mindre är det troligt att denna skadliga programvara används för att skanna nätverk som den har infiltrerat, för att söka efter information som kan hjälpa till att föra attacken framåt, till exempel att identifiera befintliga sårbarheter inom målet.
Det är viktigt att betona att sådana verktyg vanligtvis används i mångsidiga, riktade attacker som beror på det specifika målet och dess säkerhetssårbarheter eller brist på sådana.
StyleServ-infektioner är kända för att använda DLL-sidoladdningstekniken. Denna teknik utnyttjar Windows DLL-sökordermekanismen för att utnyttja ett legitimt program för att köra en skadlig nyttolast, som StyleServ.
Denna bakdörr används i passiva attacker som involverar systemövervakning, vilket kan omfatta aktiviteter som sökning efter sårbarheter och öppna portar. Vissa passiva attacker kräver minimal interaktion med det riktade systemet, medan andra ägnar sig åt aktiv spaning. Ett exempel på det senare är portskanning, som syftar till att samla information om hur ett nätverk fungerar, med fokus på att identifiera potentiella svaga punkter och vägar för djupare infiltration.
StyleServs funktionssätt
I StyleServs infektioner, när DLL-filen är aktiverad, initierar den fem trådar, var och en tilldelad en annan port. Dessa trådar försöker med jämna mellanrum komma åt en fil med namnet "stylers.bin" med 60 sekunders intervall. Filens legitimitet bestäms utifrån dess tillgänglighet och om den uppfyller vissa kriterier.
Om filen anses giltig används den i nätverksbegäranden av de efterföljande trådarna. Trådarna fungerar i första hand som krypterade versioner av "stylers.bin" och fungerar som receptorer för fjärranslutningar och övervakar beteenden i nätverkssocket.
Det är viktigt att notera att StyleServ uppvisar en svag koppling till Cur malware-gruppen; ett prov av denna bakdörr gavs av samma användare som laddade upp en variant av CurLu-lastaren. Om spekulationerna angående StyleServs koppling till en CurLu-infektion bekräftas, skulle det etablera en koppling mellan StyleServ och samma hotaktör med hjälp av program som är anslutna till Cur malware-familjen.
