In de afgelopen maanden heeft een nieuw op Golang gebaseerd botnet gericht op Windows honderden nieuwe systemen verstrikt in elke nieuw geïmplementeerde command and control (C&C) server, meldt cyberbeveiligingsbedrijf ZeroFox.
Dubbed Kraken, kan het botnet secundaire payloads downloaden en uitvoeren op de gecompromitteerde systemen, maar is het ook in staat om informatie te verzamelen, shell-commando's uit te voeren, diefstal van cryptocurrency en screenshots te maken, naast het behouden van persistentie.
Kraken verscheen voor het eerst op GitHub op 10 oktober 2021, waarbij de broncode dateerde van vóór alle waargenomen binaire bestanden. Het is echter onduidelijk of de botnet-operator het GitHub-account heeft gemaakt of gewoon de code heeft gestolen.
Het botnet verspreidt zich via de SmokeLoader-achterdeur. Aanvankelijk werd het ingezet als zelf-uitpakkende RAR SFX-bestanden, maar nu downloadt de achterdeur Kraken rechtstreeks.
Het botnet probeert detectie te omzeilen door twee opdrachten uit te voeren: een om Microsoft Defender te instrueren de installatiemap niet te scannen en een andere om het verborgen kenmerk in te stellen op het gekopieerde EXE-bestand.
Bovendien stelt Kraken een specifieke Windows Run-registersleutel in die ervoor zorgt dat deze elke keer dat het slachtoffer inlogt wordt uitgevoerd.
[LEZEN: Geavanceerde FritzFrog P2P-botnet keert terug na lange pauze]
Het botnet beschikt over een eenvoudige reeks mogelijkheden, maar de operators werden waargenomen door nieuwe functies aan de malware toe te voegen, waaronder functionaliteit voor het verzamelen van informatie. Het is ook in staat om secundaire payloads en botupdates te downloaden en uit te voeren.
De dreiging stelt operators ook in staat om shell-commando's uit te voeren en schermafbeeldingen te maken bij uitvoering. Sommige van de waargenomen builds bevatten SSH-brute-forcing-functionaliteit die is verwijderd.
Onlangs hebben de ontwikkelaars van Kraken de mogelijkheid toegevoegd om geld te stelen van verschillende cryptocurrency-portefeuilles. Gegevens verkregen uit een cryptocurrency-miningpool laten zien dat de operators van het botnet ongeveer $ 3,000 per maand verdienen.
Sinds oktober 2021 hebben de cybercriminelen meerdere versies van het administratiedashboard gemaakt, waarbij de nieuwere een volledig nieuw ontwerp hebben en meer statistieken en informatie bieden, evenals extra opties bij het selecteren van doelen.
Volgens ZeroFox worden, omdat de operators van Kraken SmokeLoader gebruiken voor levering, honderden nieuwe bots aan het netwerk toegevoegd telkens wanneer ze de C&C-server wijzigen.
"Uit controleopdrachten die van oktober 2021 tot december 2021 naar Kraken-slachtoffers werden gestuurd, bleek dat de operator zich volledig had gericht op het pushen van informatie-stelers - met name RedLine Stealer. Het is momenteel niet bekend wat de exploitant van plan is te doen met de gestolen inloggegevens die zijn verzameld of wat het einddoel is voor het creëren van dit nieuwe botnet”, besluit ZeroFox.
Zie ook: Abcbot DDoS-botnet gekoppeld aan oudere cryptojacking-campagne
Zie ook: Op Mirai gebaseerde 'Manga'-botnet richt zich op recent TP-Link-kwetsbaarheid
Zie ook: Enorme Android-botnet raakt Smart TV-advertentie-ecosysteem
Ionut Arghire is een internationale correspondent voor SecurityWeek.
Tags:
