Όταν ο κώδικας Cerberus διέρρευσε στα τέλη του 2020, οι ερευνητές της IBM Trusteer προέβλεψαν ότι μια νέα μετάλλαξη του Cerberus ήταν αναπόφευκτη. Πολλοί δράστες χρησιμοποίησαν τον διαρρεύσαντα κώδικα Cerberus, αλλά χωρίς σημαντικές αλλαγές στο malware. Ωστόσο, η ομάδα MalwareHunterTeam ανακάλυψε μια νέα παραλλαγή του Cerberus, γνωστή ως κακόβουλο λογισμικό Ermac, τον Σεπτέμβριο του 2022.
Δείτε επίσης: InTheBox: Διαθέσιμες πάνω από 1.800 κακόβουλες φόρμες phishing
Για να κατανοήσουμε καλύτερα τη νέα έκδοση του Cerberus, μπορούμε να προσπαθήσουμε να φωτίσουμε τις λειτουργίες που γίνονται στο παρασκήνιο από τον δράστη που διατηρεί τον Ermac. Παρόλο που έχει κυκλοφορήσει μια νέα έκδοση του κακόβουλου λογισμικού, θα επικεντρωθούμε στην αρχική έκδοση.
Ως απόγονος του Cerberus, το Ermac μοιράζεται τον ίδιο κώδικα πηγής και τις ικανότητες απάτης, συμπεριλαμβανομένης της κλοπής των διαπιστευτηρίων τραπεζικού λογαριασμού και των μηνυμάτων δεύτερου παράγοντα πιστοποίησης (2FA) που παραδίδονται στον χρήστη μέσω SMS ή ειδοποίησης.
Αξίζει να αναφερθεί ότι ο κακόβουλος κώδικας Ermac περιέχει ένα διαφορετικό packer από το Cerberus. To packer του Ermac είναι ανοικτού κώδικα και μπορεί να βρεθεί στο διαδίκτυο.
Αυτό αποτελεί ακόμη μια απόδειξη ότι το Ermac θα μπορούσε να είναι ένας νέος τελεστής και ότι ο εισβολέας διατηρεί ενεργή τη διαρροή του κωδικού Cerberus και συνεχώς εξελίσσει τη βάση κώδικα του Ermac.
Μια λεπτομερής ανάλυση της διεπαφής χρήστη (UI) του Ermac command and control server (C&C) αποκαλύπτει τις διαφορές μεταξύ Cerberus και Ermac και παρέχει μια μοναδική εικόνα της λειτουργικότητας του Ermac, του σχεδίου προσαρμογής και των χαρακτηριστικών υπό ανάπτυξη. Οι ερευνητές του IBM Trusteer ανακάλυψαν δύο νέες δυνατότητες στο κακόβουλο λογισμικό Ermac: το ransomware και μια σύνδεση εικονικού ιδιωτικού δικτύου (VPN).
Τα δεδομένα που διαχειρίζεται ο C&C οργανώνονται σε ένα δομημένο πίνακα με πολλές στήλες.
Δείτε ακόμα: Cerber ransomware: Εκμεταλλεύεται ένα σοβαρό σφάλμα του Atlassian Confluence
Η πρώτη στήλη εμφανίζει το ID που δημιουργείται για κάθε bot. Επίσης, μπορούμε να δούμε τις διάφορες ενέργειες και τις λειτουργίες της συσκευής: για παράδειγμα, αν ο χρήστης παρακολουθεί αυτήν την οθόνη, αν έχουν φορτωθεί διάφορα μοντέλα κ.λπ.
Η επόμενη στήλη αποθηκεύει πληροφορίες σχετικά με τη συσκευή του θύματος και την έκδοση του λειτουργικού συστήματος.
Η τρίτη στήλη αποθηκεύει διάφορες ετικέτες σχετικά με την κατάσταση του bot.
Η επόμενη στήλη ονομάζεται GEO και αποθηκεύει πληροφορίες σχετικά με τη χώρα και την τοποθεσία της συσκευής του ρομπότ.
Στη συνέχεια, περιλαμβάνονται πληροφορίες σχετικά με την ημερομηνία και την ώρα εγκατάστασης του κακόβουλου λογισμικού και την τελευταία φορά που ο ρομπότ συνδέθηκε με επιτυχία στο C&C.
Η στήλη “injection” περιέχει τις διάφορες εφαρμογές στις οποίες το malware μπορεί να πραγματοποιήσει επιθέσεις overlay.
Η στήλη “action” καταγράφει τις διάφορες ενέργειες που ο χειριστής C&C μπορεί να διατάξει στο bot να εκτελέσει στη συσκευή του θύματος. Αυτές οι ενέργειες περιλαμβάνουν το άνοιγμα της εισαγωγής, την προώθηση κλήσεων, την εκκαθάριση των δεδομένων της εφαρμογής και πολλά άλλα.
Η στήλη των καταγραφών περιέχει αρχεία δεδομένων που εξαφανίστηκαν από τη συσκευή του θύματος, συμπεριλαμβανομένων των επαφών, της διπλής επαλήθευσης, της λίστας των εγκατεστημένων εφαρμογών, των ειδοποιήσεων των εφαρμογών, των καταγεγραμμένων πλήκτρων και πολλά άλλα.
Δείτε επίσης: Το Gigabud RAT malware εισβάλλει σε συσκεύες Android
Μία από τις πιο ενδιαφέρουσες οθόνες είναι η “Αυτόματη εντολή”, η οποία εξακολουθεί να βρίσκεται σε φάση δοκιμής (beta mode). Στην οθόνη, μπορούμε να δούμε δυνατότητες όπως η αποστολή SMS, η ανοιχτή επένθεση (επικάλυψη οθόνης), η λήψη της λίστας επαφών και το killbot, το οποίο είναι ένας διακόπτης αυτοκαταστροφής Ermac. Μπορούμε επίσης να δούμε μοναδικές εντολές όπως “Απαλοιφή δεδομένων εφαρμογής” και “Λήψη λογαριασμών.”
Πηγή: securityintelligence
