Novi alat za hakovanje L0rdix najtraženiji na Dark Webu

Zbog velikog broja funkcionalnosti, privukao je pažnju u sajber kriminalnim krugovima!

Novi alat za hakovanje L0rdix najtraženiji na Dark Webu

L0rdix alat je od nedavno dostupan na ilegalnim forumima i namenjen je za hakovanje Windows uređaja. Kombinuje mogućnosti krađe podataka i rudarenja kripto valuta, u stanju je da prevari softvere za analizu malvera i osmišljen je kao univerzalni, multifunkcionalni alat. Iako dostupan za kupovinu, još uvek je u fazi razvoja i tek se očekuju sofisticiranije verzije.

L0rdix ne koristi nove tehnike, ali ono što ga čini moćnom pretnjom je kombinovanje metoda krađe informacija i rudarenja kripto valuta, uz mehanizme koje primenjuje da ostane neprimećen.

Napisan je u .NET frameworku, za obfuskaciju koristi standardni ConfuserEx obfuskator, a neki uzorci su „pojačani“ sofisticiranijim .NETGuard obfuskatorom. Posebnu pažnju autori malvera su posvetili virtualnom okruženju i sandboxu, koje istraživači uobičajeno koriste za potrebe obrnutog inženjeringa i analize malvera. L0rdix ne obavlja samo standardne skenove za detekciju okruženja, već koristi i WMI upite i registry keys za pretragu nizova koji mogu ukazati na sandbox proizvode.

Kreatori alata su pri dizajniranju imali na umu prvenstveno prodaju, jer malver sadrži 5 core modula sa mogućnostima automatskog ažuriranja konfiguracije i strukturom koja omogućava jednostavnu integraciju budućih modula.

Kada je uređaj kompromitovan, malver izvlači informacije (verzija OS-a, ID uređaja, CPU model, instalirana AV rešenja i trenutne privilegije korisnika). Informacije se kriptuju i šalju na C2 server napadača, zajedno sa skrinšotom računara. Zatim se fajlovi i konfiguracija malvera ažuriraju na osnovu dobijenih informacija i L0rdix odlučuje da li da rudari kripto valute, krade podatke i sl. Zatim inficira sve dostupne prenosne uređaje na kojima sakriva sve legitimne fajlove i foldere i umesto njih kopira malver sa njihovim imenom i ikonom. Sve ovo se obavlja kako bi napadači bili sigurni da će se malver izvršiti kada korisnik dva puta klikne na drugom računaru.

Druga funkcija je zadužena za održavanje trajnog prisustva malvera. Malver se kopira na veliki broj uobičajenih mesta, kao što su planirani taskovi.

L0rdix može da se ponaša i kao botnet, odnosno da zaražene računare iskoristi za DDoS napade. Ima ugrađenu sposobnost da prati i šalje podatke iz Windows clipboarda ukoliko je tekst povezan sa kripto valutama, a prikuplja i cookies i kredencijale.

Kao što smo na početku napomenuli, L0rdix je još uvek nedovršen alat. Očekuje se da će u nekim narednim verzijama autori ispraviti propuste koji se tiču slabe implementacije, što će ovu pretnju učiniti još opasnijom.

Izvor: ZD net