Jednoduchou strategii zvolili útočníci k distribuci malwaru uživatelům v Jižní Koreji. Trojské koně se vzdáleným přístupem (RAT) maskují jako hru pro dospělé, kterou šíří prostřednictvím torrentů a služby WebHard. O novince informuje Bleeping Computer.
Útočníci používají škodlivé aplikace, jako je njRAT a UDP RAT, zabalí je do balíčku a následně je vydávají za hru nebo jiný program. Nejčastěji se jedná o komprimovaný archiv vydávaný za lechtivou hru. Tu pak šíří mezi důvěřivé uživatele.
Dálkové ovládání místo hry pro dospělé
Útočníci k šíření využívají distribuovanou síť BitTorrent a v Jižní Koreji populární službu pro ukládání dat online WebHard. Uživatele lákají na odkazy šířené přes komunikační platformu pro komunity Discord a příspěvky na sociálních sítích.
Když uživatel stažený soubor rozbalí, najde v něm, mimo jiné, spustitelnou aplikaci game.exe. Po spuštění souboru dojde k aktivaci malwaru a následnému vytvoření nového souboru game.exe, který spustí skutečnou hru a přesvědčí oběť, že vše proběhlo v pořádku.
Malware poté naváže spojení s řídícím serverem, od kterého přijímá příkazy, jež následně vykonává. Může také stahovat do počítače další škodlivé aplikace. Obzvláště nebezpečný je tím, že může krást citlivé informace, včetně přihlašovacích údajů k účtům.
Nebezpečný trojský kůň
Tyto nástroje jsou obvykle schopné pořizovat snímky obrazovky na napadeném zařízení a také upravují registr systému Windows, aby mohly fungovat i po restartu a nebylo je tak snadné odstranit. V tomto případě malware přidá do registru klíč, aby zajistil pravidelné připojení k řídícímu serveru a udržoval tak otevřenou možnost načítání dalších souborů.
Škodlivé aplikace, které uživatele lákají ke stažení a spuštění pod nějakou zástěrkou, jsou označovány jako trojské koně. Název pochází z řecké mytologie, kde se skupina vojáků při neúspěšném obléhání Tróje ukryla do velkého dřevěného koně. Když Trójané vtáhli koně do města, vojáci otevřeli bránu a učinili tak poslední krok k porážce nepřátel.