Ο ερευνητής της SophosLabs, Gabor Szappanos σε σχετική έρευνα, εξερευνά και εξηγεί την μηχανική πίσω ένα kit δημιουργίας malware (malware creation kit) που χρησιμοποιήθηκε σε μία σειρά εκστρατειών μεταξύ του Μάϊου και του Αυγούστου 2015.
Ο Gabor παρακολουθούσε την ανάπτυξη και την πορεία του κακόβουλου λογισμικού (malware) που χρησιμοποιήθηκε σε εκστρατείες προηγμένων επίμονων απειλών (Advanced Persistent Threats, APT) τα τελευταία δύο χρόνια, συμπεριλαμβανομένων των PlugX και άλλων βασισμένων σε έγγραφα (document-based) επιθέσεων.
Αυτή την φορά, ξεσκέπασε την υπόθεση ενός ιδιαίτερα ενδιαφέροντος κιτ κατασκευής κακόβουλου λογισμικού που είναι διαθέσιμο σε διάφορες underground αγορές κυβερνοεγκλήματος, γνωστό ως MWI ή αλλιώς Microsoft Word Intruder.
Το MWI, που από την ονομασία του μπορείτε να καταλάβετε ότι χρησιμοποιείται για την δημιουργία κακόβουλου λογισμικού που εκμεταλλεύεται έγγραφα του Microsoft Office, αναπτύχθηκε στην Ρωσία ωστόσο έχει χρησιμοποιηθεί ευρέως από διάφορες ομάδες κυβερνοεγκλήματος.
Όπως εξηγεί ο Gabor στην νέα του έκθεση, Microsoft Word Intruder Revealed, τα κιτ δημιουργίας ιών δεν είναι νέα: τα πρώτα κιτ του είδους δημιουργήθηκαν στις αρχές της δεκαετίας του 1990. Από τότε ωστόσο έως σήμερα, ο τρόπος δημιουργίας και δημοσίευσης τους έχει αλλάξει. Αντί λοιπόν να γίνονται “countercultural statements”, ο στόχος του δημιουργού είναι να βγάλει όσο περισσότερα χρήματα μπορεί πουλώντας αυτές τις γεννήτριες malware σε κυβερνοεγκληματίες σε underground αγορές.
Τα αποτελέσματα που έχει το κιτ με την ονομασία MWI παρόλα αυτά παραμένουν όμοια με εκείνα των παλαιών γεννητριών ιών DOS της δεκαετίας του 1990: δίνει στους κυβερνοεγκληματίες και τους απατεώνες άμεση πρόσβαση σε exploits του Office για να εξαπολύσουν επιθέσεις με malware, ακόμα και αν οι ίδιοι δεν διαθέτουν τις δεξιότητες να αναπτύξουν τα δικά τους exploits.
Σύμφωνα με τον Gabor, το MWI έχει χρησιμοποιηθεί από πολλές διαφορετικές ομάδες malware, παρατάσσοντας Trojans από περισσότερες από 40 διαφορετικές οικογένειες malware.
Στην έκθεση του Gabor υπάρχουν πολλές συναρπαστικές λεπτομέρειες, είτε απλώς θέλετε να έχετε μία απλή εικόνα για το έγκλημα στον κυβερνοχώρο, είτε θέλετε να εμβαθύνετε σε περισσότερες τεχνικές λεπτομέρειες. Ο Gabor εξηγεί την ιστορία των κιτ δημιουργίας κακόβουλου λογισμικού, και πως λειτουργούν, ενώ εμβαθύνει και στον μηχανισμό μόλυνσης της γεννήτριας MWI (MWI generator) επισημαίνοντας τα βασικά χαρακτηριστικά που διαφοροποιούν τα συγκεκριμένα δείγματα από άλλα εκμεταλλεύσιμα κακόβουλα έγγραφα.
Κατεβάστε την έκθεση του Gabor Szappanos: Microsoft Word Intruder Revealed.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.