Το νέο Golang-based botnet που ονομάζεται Kraken παγιδεύει εκατοντάδες συσκευές Windows κάθε φορά που οι χειριστές του αναπτύσσουν έναν νέο command and control (C2) server.
Δείτε επίσης: Botnet FritzFrog: Επανεμφανίστηκε με ανησυχητικό ποσοστό μόλυνσης
Αυτό το μέχρι τότε άγνωστο botnet που εντοπίστηκε για πρώτη φορά τον Οκτώβριο του 2021 από ερευνητές της ZeroFox που το ονόμασαν Kraken χρησιμοποιεί το backdoor SmokeLoader και τον malware downloader για να εξαπλωθεί σε νέα συστήματα Windows.
Μετά τη μόλυνση μιας νέας συσκευής Windows, το botnet προσθέτει ένα νέο κλειδί μητρώου για να επιτύχει σταθερότητα μεταξύ των επανεκκινήσεων του συστήματος. Θα προσθέσει και μια εξαίρεση του Microsoft Defender για να διασφαλίσει ότι ο installation directory του δεν θα σαρωθεί ποτέ και θα αποκρύψει το binary του στον Window Explorer χρησιμοποιώντας το κρυφό attribute.
Το Kraken έχει ένα περιορισμένο και απλοϊκό σύνολο χαρακτηριστικών, που επιτρέπει στους εισβολείς να κατεβάζουν και να εκτελούν επιπλέον κακόβουλα payloads σε παραβιασμένες συσκευές, συμπεριλαμβανομένου του malware RedLine Stealer.
Δείτε επίσης: Τα botnets Mirai εκμεταλλεύονται τη χαλαρή ασφάλεια του IoT
Το RedLine είναι αυτή τη στιγμή ο πιο ευρέως διαδεδομένος φορέας κλοπής πληροφοριών ικανός να συλλέγει τους κωδικούς πρόσβασης των θυμάτων, τα cookies του προγράμματος περιήγησης, τις πληροφορίες πιστωτικών καρτών και τις πληροφορίες πορτοφολιού κρυπτονομισμάτων.
Ενσωματωμένες δυνατότητες κλοπής crypto-πορτοφολιού
Ωστόσο, το botnet διαθέτει και ενσωματωμένες δυνατότητες κλοπής πληροφοριών και μπορεί να κλέψει crypto wallets πριν απορρίψει άλλους κλέφτες πληροφοριών και cryptocurrency miners.
Σύμφωνα με το ZeroFox, το Kraken μπορεί να κλέψει πληροφορίες από τα crypto wallets Zcash, Armory, Bytecoin, Electrum, Ethereum, Exodus, Guarda, Atomic και Jaxx Liberty.
Με βάση τις πληροφορίες που συλλέγονται από την cryptocurrency mining pool Ethermine, αυτό το botnet φαίνεται να προσθέτει περίπου 3.000 USD κάθε μήνα στα πορτοφόλια των κυρίων του.
Δείτε επίσης: Phorpiex botnet: Η νέα παραλλαγή Twizt διευκολύνει την κλοπή cryptocurrencies
Ωστόσο, “χρησιμοποιώντας το SmokeLoader για εξάπλωση, το Kraken κερδίζει γρήγορα εκατοντάδες νέα bots κάθε φορά που ο χειριστής αλλάζει το C2.”
Πηγή πληροφοριών: bleepingcomputer.com