Вредоносное ПО заражает Windows, Mac OS X, Linux ПК, используя уязвимость Java в патче, выпущенном Oracle

В это же время в прошлом году Java столкнулась с одним из самых критических периодов в своей истории с момента запуска. Хакеры в то время использовали уязвимость, которая называлась «Эксплойт нулевого дня», чтобы взломать программное обеспечение на основе Java. Эти эксплойты были настолько мощными, что их цена достигала $5000 за эксплойт на подпольных сайтах и форумах. В результате Oracle выпустила ряд патчей для исправления этой уязвимости. Однако один из патчей, выпущенных Oracle, под названием CVE-2013-2465, выпущенный в июне 2013 года для исправления критической уязвимости, сам по себе, похоже, имеет эксплойт!!!

• *

• *

Исследователи обнаружили, что вредоносное ПО ботнета использует эту уязвимость для заражения компьютеров, работающих на всех основных операционных системах Windows, Mac OS X и Linux, при условии, что на них установлена и работает программная платформа Java от Oracle. Поскольку платформа Java используется почти повсеместно и всеми, инфекция была описана как значительная. Во-вторых, само вредоносное ПО является кроссплатформенной версией, которая использует обфускатор Zelix Klassmaster, чтобы предотвратить его обратную разработку белыми хакерами и конкурирующими черными хакерами. Название этого вредоносного ПО — Heur:Backdoor.Java.Agent.a. Кроме обфускации байт-кода, Zelix шифрует некоторые внутренние механизмы вредоносного ПО, что делает его невозможно обнаружить, вылечить или провести обратную разработку.

• *

Все машины, на которых установлена версия Java 7 u21 и более ранние, вероятно, будут заражены этим ботнетом. Как только бот заразит компьютер, он копирует себя в директорию автозагрузки своей соответствующей платформы, чтобы гарантировать, что он запускается каждый раз, когда зараженная машина загружается. После загрузки вредоносное ПО заставляет скомпрометированные компьютеры сообщать в канал интернет-ретрансляции, который действует как сервер командования и управления. Хакеры могут затем использовать этот IRC-канал для удаленного управления взломанным/скомпрометированным компьютером. Как уже упоминалось, из-за его кроссплатформенной функции это вредоносное ПО считается двойной опасностью.

• *

Хакеры используют этот ботнет для проведения D истрибутированного отказа в обслуживании (DDoS) атак на выбранные ими цели. Это делается хакерами путем выдачи необходимых команд через IRC-канал. Указанный IRC-канал позволяет хакерам указывать IP-адрес, номер порта, интенсивность и продолжительность атак. Вредоносное ПО написано полностью на Java, что позволяет ему работать на Windows, OS X и Linux машинах. Для добавления гибкости и большей маневренности хакерам, бот также был интегрирован с PircBot, интерфейсом программирования IRC на основе Java.

• *

Работа этого вредоносного ПО ботнета спроектирована так, что жертва DDoS-атаки, а также атакующий (скомпрометированный ПК) оба не осознают реального преступника, стоящего за атакой. Это также затрудняет веб-мастерам, аналитикам безопасности и белым хакерам, нанятым жертвой, мониторинг их веб-сайтов, чтобы добраться до источника реального атакующего.