GitHub
Malveyan an kapab idantifye dosye pwojè NetBeans epi ajoute kòd li nan dosye pwojè yo ak fichye JAR konpile. Algorithm travay la se jwenn anyè NetBeans ak pwojè itilizatè a, enumere tout pwojè nan anyè sa a, kopye script move a nan
Lè yon lòt itilizatè te telechaje ak lanse dosye JAR ki enfekte a, yon lòt sik nan rechèch NetBeans ak entwodwi kòd move te kòmanse sou sistèm li a, ki koresponn ak modèl operasyon an nan pwòp tèt ou-pwopagasyon viris òdinatè. Anplis fonksyonalite pwòp tèt ou-pwopagasyon, kòd move a gen ladan tou fonksyonalite backdoor pou bay aksè aleka nan sistèm nan. Nan moman ensidan an, sèvè kontwòl backdoor (C&C) yo pa t aktif.
An total, lè etidye pwojè ki afekte yo, yo te idantifye 4 varyant enfeksyon. Nan youn nan opsyon yo, pou aktive backdoor a nan Linux, yo te kreye yon fichye autostart "$HOME/.config/autostart/octo.desktop", epi nan Windows, travay yo te lanse atravè schtasks pou lanse li. Lòt dosye ki te kreye yo enkli:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Bibliyotèk/LaunchAgents/AutoUpdater.dat
- $HOME/Bibliyotèk/LaunchAgents/AutoUpdater.plist
- $HOME/Bibliyotèk/LaunchAgents/SoftwareSync.plist
- $HOME/Bibliyotèk/LaunchAgents/Main.class
Yo ta ka itilize deyè pòt la pou ajoute signets nan kòd devlope pa pwomotè a, koule kòd nan sistèm propriétaires, vòlè done konfidansyèl ak pran sou kont. Chèchè ki soti nan GitHub pa ekskli ke aktivite move pa limite a NetBeans epi ka gen lòt varyant nan Octopus Scanner ki entegre nan pwosesis la bati ki baze sou Make, MsBuild, Gradle ak lòt sistèm yo gaye tèt yo.
Non pwojè ki afekte yo pa mansyone, men yo ka fasilman
Sous: opennet.ru