I ricercatori ESET hanno scoperto e analizzato una campagna malevola in corso che distribuisce una backdoor via torrent, sfruttando contenuti TV coreani e in alcuni casi dei giochi popolari. La backdoor si diffonde grazie a siti torrent della Corea del Sud e della Cina e consente ai criminali di connettere il computer a una botnet e controllarlo.
Il malware in questione è una versione modificata di una backdoor disponibile pubblicamente denominata GoBot2; le modifiche al codice sorgente sono principalmente tecniche di evasione specifiche per la Corea del Sud. A causa del chiaro focus della campagna, ESET ha soprannominato questa variante di Win64/GoBotKR.
GoBotKR, i torrent prendono di mira le TV Coreane
Lo stesso paese risulta di conseguenza quello più colpito con circa l’80% di tutte le rilevazioni, seguito da Cina (10%) e Taiwan (5%). Sempre secondo la telemetria ESET, GoBotKR è attivo dal 2018. Secondo ESET, il malware non è particolarmente complesso dal punto di vista tecnico.
Tuttavia, i criminali dietro a GoBotKR stanno costruendo una rete di robot che possono essere utilizzati per eseguire attacchi DDoS di vario tipo. Pertanto, GoBotKR raccoglie innanzitutto le informazioni di sistema sul computer compromesso come la configurazione di rete, i dettagli sulla versione del sistema operativo e le versioni della CPU.
Queste informazioni vengono inviate a un server C & C, che aiuta gli autori a determinare quali bot utilizzare per i diversi attacchi. Tutti i server identificati grazie ai campioni di malware analizzati sono ospitati in Corea del Sud e registrati dalla stessa persona.
Il bot ha molte funzionalità, come consentire l’uso improprio del computer compromesso, permettere ai criminali di controllare o estendere ulteriormente la botnet, eludere il rilevamento e nascondersi dagli utenti. Tra gli altri comandi supportati c’è la possibilità di dirigere un attacco DDoS su determinate vittime.
Ma non è finita qui perché riesce a copiare il malware sui supporti rimovibili collegati al sistema o nelle cartelle pubbliche dei servizi Cloud. GoBotKR è particolarmente interessante per le sue tecniche di evasione, che sono state concepite per colpire la Corea del Sud.
In particolare, il malware esegue la scansione dei processi in esecuzione sul sistema compromesso per rilevare i prodotti antivirus presenti, inclusi quelli di una società di sicurezza sudcoreana. Se ne viene identificato uno, la minaccia cessa immediatamente le sue attività.