GitHub
Malware është në gjendje të identifikojë skedarët e projektit NetBeans dhe të shtojë kodin e tij në skedarët e projektit dhe skedarët e përpiluar JAR. Algoritmi i punës zbret në gjetjen e drejtorisë NetBeans me projektet e përdoruesit, duke numëruar të gjitha projektet në këtë direktori, duke kopjuar skriptin keqdashës në
Kur skedari i infektuar JAR u shkarkua dhe u lëshua nga një përdorues tjetër, në sistemin e tij filloi një cikël tjetër kërkimi për NetBeans dhe futja e kodit me qëllim të keq, i cili korrespondon me modelin e funksionimit të viruseve kompjuterike që përhapen vetë. Përveç funksionalitetit të vetëpërhapjes, kodi keqdashës përfshin gjithashtu funksionalitetin e dyerve të pasme për të siguruar akses në distancë në sistem. Në kohën e incidentit, serverët e kontrollit të derës së pasme (C&C) nuk ishin aktivë.
Në total, gjatë studimit të projekteve të prekura, u identifikuan 4 variante të infeksionit. Në një nga opsionet, për të aktivizuar derën e pasme në Linux, u krijua një skedar autostart "$HOME/.config/autostart/octo.desktop" dhe në Windows, detyrat u nisën përmes schtasks për ta nisur atë. Skedarët e tjerë të krijuar përfshijnë:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Klasa kryesore
Backdoor mund të përdoret për të shtuar faqeshënues në kodin e zhvilluar nga zhvilluesi, për të nxjerrë kodin e sistemeve të pronarit, për të vjedhur të dhëna konfidenciale dhe për të marrë përsipër llogari. Studiuesit nga GitHub nuk përjashtojnë që aktiviteti keqdashës nuk është i kufizuar në NetBeans dhe mund të ketë variante të tjera të Octopus Scanner që janë të ngulitura në procesin e ndërtimit bazuar në Make, MsBuild, Gradle dhe sisteme të tjera për t'u përhapur vetë.
Emrat e projekteve të prekura nuk përmenden, por mund të përmenden lehtësisht
Burimi: opennet.ru