Malware DDoS IRC Bot (GoLang) sendo distribuído via Webhards

Ao monitorar a fonte de distribuição de malware na Coréia, a equipe de análise da ASEC descobriu que as cepas DDoS IRC Bot disfarçadas de jogos para adultos estão sendo instaladas via webhards. Webhards são plataformas comumente usadas para distribuição de malware na Coréia, onde njRAT e UDP Rat foram distribuídos no passado.

Malware UDP RAT sendo distribuído via Webhards

Os casos que estão sendo descobertos recentemente são semelhantes ao caso discutido no post acima, e parece que o mesmo invasor continua distribuindo o malware. Para começar, o malware está sendo distribuído sob o disfarce de jogos para adultos. Além disso, o malware DDoS foi instalado via downloader e UDP Rat foi usado.

Uma diferença é que o malware de download anterior foi desenvolvido usando C#, mas agora o GoLang é usado. O código aberto Simple-IRC-Botnet (malware DDoS IRC Bot desenvolvido com GoLang) de código aberto também foi usado junto com o UDP Rat.

Figura 1. Botnet Simple-IRC de código aberto

O GoLang é usado por vários invasores e seu uso está aumentando recentemente devido a vários pontos fortes que possui: suas baixas dificuldades de desenvolvimento e seu suporte multiplataforma. Seguindo essa tendência, os casos que usam GoLang estão aumentando em cepas de malware Korat que visam usuários coreanos.

Conforme mostrado na figura abaixo, o malware disfarçado de jogo adulto é carregado no webhard.

Figura 2. Arquivo compactado que contém malware distribuído no webhard

Embora seja incerto se a pessoa que carregou este jogo é o invasor, postagens semelhantes estão distribuindo o mesmo malware usando arquivos compactados. Observe que os jogos diferem, mas o malware dentro dos arquivos compactados é o mesmo que será discutido abaixo.

Figura 3. Outras postagens enviadas pelo invasor

Os jogos para adultos usados para ataques contêm o seguinte nome de caminho. Isso significa que eles foram distribuídos através dos arquivos compactados com os seguintes nomes.

– [19 versão coreana] Naughty Mage’s EXTXXXX Life
– [19 versão coreana] A razão pela qual ela se tornou uma escrava
– [19 versão coreana] Refraining of Heavenly Walk
– [19 versão coreana] Exchange Diary of Violation
– [19 versão coreana] Girl From Tea Ceremony Club
– [19 versão coreana] Curse of Lilia
– [19 versão coreana] Academy with Magical Girls
– [19 versão coreana] Monster Fight
– [19 versão coreana] Dreamy Lilium
– [19 versão coreana] Enraged Department Manager
– [19 Versão coreana] Fancy Days of Sayuri
– [19 versão coreana] Sleif Corporation
– [19 versão coreana] Country Girl Exposure
– [19 versão coreana] Sylvia and Master of Medicine
– [19 versão coreana] Assassin Asca
– [19 versão coreana] Como reformar sua namorada
– [19 versão coreana] Criando Utopia com habilidade de subjugação
– [19 versão coreana] Uriel e Belial
– [19 versão coreana] O caso da presidente Kana
– [19 versão coreana] Princess Round
– [19 versão coreana] Flora e a Raiz da Árvore do Mundo
– [19 versão coreana] Midnight Exposure
– [19 versão coreana] Modern Day Elf
– [19 versão coreana] Research Data of Homunculus

Ao descompactar o arquivo zip baixado, os seguintes arquivos aparecem. Normalmente, os usuários executariam o arquivo “Game_Open.exe” mostrado abaixo para jogar o jogo.

Figura 4. Malware disfarçado como arquivo Game_Open.exe

Mas “Game_Open.exe” não é um launcher que roda o jogo. É um executável que executa o malware adicional. Para ser mais preciso, ele altera o arquivo “PN” existente no mesmo caminho que “scall.dll” e o executa. Em seguida, ele copia o “index” executável do jogo original para “Game.exe” para executá-lo. Como tal, os usuários assumiriam que o jogo está sendo executado normalmente.

Figura 5. Programa de jogo real executado por malware

Quando o processo acima estiver concluído, o arquivo “Game_Open.exe” ficará oculto. Depois de oculto, os usuários executariam “Game.exe”, que é uma cópia do iniciador do programa de jogo. Observe que o arquivo “PN” que foi alterado para “scall.exe” e executado é malware. Ele primeiro move o arquivo “srt” existente no mesmo caminho para C:\Program Files\EdmGen.exe.

Figura 6. Malware criado no caminho dos Arquivos de Programas

Em seguida, ele registra “EdmGen.exe” no agendador de tarefas usando o seguinte comando para executá-lo periodicamente.

“C:\Windows\System32\cmd.exe” /c SCHTASKS /CREATE /SC ONSTART /NP /TN “Windows Google” /TR “C:\Program Files\EdmGen.exe”

“EdmGen.exe” (arquivo “srt”) que é executado pelo processo mostrado acima executa o programa normal vbc.exe e injeta malware no programa. O malware que é injetado no vbc.exe e executado também é um tipo de downloader discutido na postagem anterior do blog ASEC. Uma diferença é que ele foi desenvolvido com GoLang em vez de C#.

O malware pode acessar periodicamente o servidor C&C conforme mostrado abaixo para obter a URL do malware que será baixado para instalar malware adicional.

Figura 7. Rotina do downloader Golang injetado

URL de download para malware adicional: hxxp://node.kibot[.]pw:8880/links/01-13
Caminho de criação do malware baixado: C:\Down\discord_[caracteres aleatórios]\[nome do malware]

Anteriormente, o tipo de malware adicionalmente instalado era UDP Rat DDoS. Ainda para este caso, havia também o Simple-IRC-Botnet desenvolvido com GoLang.

Também é um tipo de malware DDoS Bot, mas usa protocolos IRC para se comunicar com o servidor C&C. Ao contrário do UDP Rat que suportava apenas ataques UDP Flooding, ele também pode suportar ataques como Slowris, Goldeneye e Hulk DDoS.

Figura 8. Função de rotina do malware Golang DDoS IRC Bot

O Golang DDoS IRC Bot se conecta a um servidor de IRC específico quando é executado e entra no canal do invasor. Ele pode executar ataques DDoS em um alvo se o invasor enviar comandos do canal.

– Lista de servidores IRC usada por Golang DDoS IRC Bot Malware
210.121.222[.]32:6667
157.230.106[.]25:6667
89.108.116[.]192:6667
176.56.239[.]136:6697

Figura 9. Comando para entrar no canal IRC do atacante

Figura 10. Comandos DDoS que podem ser enviados pelo invasor através do canal IRC

Conforme mostrado nos exemplos acima, o malware está sendo distribuído ativamente por meio de sites de compartilhamento de arquivos, como os webhards coreanos. Como tal, recomenda-se cautela ao abordar executáveis baixados de um site de compartilhamento de arquivos. É recomendável que os usuários baixem produtos dos sites oficiais dos desenvolvedores.

[Detecção de arquivo]
Trojan/Win.Korat.C4914970 (2022.01.16.00)
Trojan/Win.Korat.R465157 (2022.01.16.00)
Trojan/Win.Korat.C4914985 (2022.01.16.00)
Downloader/Win.Korat.C4914968 (2022.01 ) 16.00)
Downloader/Win.Korat.C4914972 (2022.01.16.00)
Downloader/Win.Korat.C4914976 (2022.01.16.00)
Downloader/Win.Korat.C4914977 (2022.01.16.00)
Downloader/202.Korat.C4914979 (2022.01.16.00)
Downloader/Win.Korat.C4914980 (2022.01.16.00)
Downloader/Win.Korat.C4914997 (2022.01.16.00)
Trojan/Win.IRCGo.C4915003 (2022.01.16.00)
Trojan/Win.IRCGo.C4915004 (2022.01.16.00)
Trojan Win.IRCGo.C4915005 (2022.01.16.00)
Backdoor/Win.UDPRat.R465188 (2022.01.16.00)

[COI]
Arquivo
– Game Launcher
affbad0bedccbf1812599fbce847d917
b21ad73be72280ae30d8c5556824409e
889289d9d97f7c31925a451700b4b7ac
2a7de90437c66b3f2304630c3324e2de
f14c51ca5d7afc1128cceca5d5a5694b
41320f572cdf14abc1401a72a24a621d
d38803b3f7c0faac71a3e572e9214891
5d97a32e47dfa54dd1bebde208252b88
12baeacfd0ac2d66c5959d6305a4fe50

– Lançador
b621005a147ef842fbc7198c8431724c
ba43e4c84da7600881ed5ccac070e001
b6ad8550dcd317a49c6e563a1188d9f0
db2db486b828182c827e4fdfc292e143
4c1777b5763bc7655d1ca89ae4774470
2357c1c6027f21094fa62a35300a96ae
28566a08334f37d7a8d244c393e9ad33
4b3eff9f394ebd2231c5c0b980c62e63
74834f29dd5d244742879c2d800e8a53
4b3eff9f394ebd2231c5c0b980c62e63

– Downloader
42a344fbad7a56e76c83013c677330ac
6b029fc7a0f480b7dd6158bba680e49b
5a74ea453f0b424770fdddaf470f5eae
12c97b2481efe448b93b72b80eb96563
1f993f08ed40f6b03db7f78ab8e087a5
005247fa9b312eb449150b52b38e0a4c
1f2147b2a0caeb43a9a3bcaf42808581
63ff6d1bb53cdd2d7b7fca856826c8b6

– UDP Rat
bff341b0c95eda801429a4b5c321f464
0fd264b12ea39e39da7807a117718429
af486a4e9fdc62ac31f8424a787a460c
2160629e9def4c9482b4fb642c0cd2d8
51cfd6c6390ce99979350a9a21471d30
194fb8590e1218f911870c54b5830f16
7b73a4e6e504800e256495861d0c9f78
57568755bac3f20fffb970a3c6386a43
55b6e07ff120b6c2e784c8900333aa76
bc18d787c4d886f24fa673bd2056e1ed
5be1ab1d5385d5aeadc3b498d5476761
1bc93ee0bd931d60d3cd636aa35176e3
a2fc31b9c6a23e0a5acc591e46c61618
977c52d51d44a0a9257017b72cfafab1
98e4f982363c70bd9e52e5a249fce662

– golang DDoS IRC Bot
7f3bd23af53c52b3e84255d7a3232111
00b9bf730dd99f43289eac1c67578852
90bfa487e9c5e8fe58263e09214e565b
2fe8262d00243903904e565b
2fe8262d0045390390349a2478b903903903904cc04cc

C&C Server
-Downloader Malware
hxxp: //organic.kibot [.] Pw: 2095/links/12-20
hxxp: //node.kibot [.] Pw: 2095/links/12-20
hxxp: //node.kibot [.] pw: 2095/links/12-25
hxxp: //node.kibot [.] pw: 8880/links/12-28
hxxp: //miix.kibot [.] pw: 8880/links/12-28
hxxp: //node.kibot [.] pw: 8880/links/12-28
hxxp: //node.kibot [.] pw: 8880/links/01-13

– Rato UDP
195.133.18[.]27:1234
195.133.18[.]27:8080
195.133.18[.]27:9997

Fonte: https://asec.ahnlab.com/en/30755/

Tags: irc_botnet

Malware DDoS IRC Bot (GoLang) sendo distribuído via Webhards

Comentários do GitHub são usados para enviar malware por meio de repositório da Microsoft

Malware Androxgh0st compromete servidores em todo o mundo por ataque de botnet

Ex-engenheiro de segurança condenado a 3 anos de prisão por roubo de criptomoedas no valor de US$ 12,3 milhões

Vulnerabilidade de ‘confusão de dependência’ é encontrada no projeto Apache

Comentários do GitHub são usados para enviar malware por meio de repositório da Microsoft

Malware Androxgh0st compromete servidores em todo o mundo por ataque de botnet

Vendas na Dark Web impulsionam grande aumento em ataques de credenciais

Falso ‘cheater’ atrai jogadores para espalhar malware infostealer

Matérias Relacionadas

Veja mais..