Yaqinda zararli dasturiy ta'minot kampaniyasining bir qismi sifatida jinoyatchilar Astaroth zararli dasturining yangi versiyasini tarqatdilar. Antivirus dasturlarini aniqlashni oldini olish uchun hujumchilar Cloudflare Workers platformasidan foydalanganlar.
Cloudflare Workers - Cloudflare serverlarida ishlaydigan skriptlar to'plamidir. Ular 90 mamlakat va 193 shaharlarining ma'lumot markazlarida joylashgan. Platforma infratuzilmani qo'llamasdan har qanday JavaScript kodini ishga tushirishga imkon beradi.
Cloudflare Workers jinoyatchilarning zararli kampaniyasida hujumning bir qismi rolini o'ynaydi. Tajovuzkorlar HTML formatida biriktirilgan ilova bilan oddiy so'rov uchun yashirilgan fishing elektron pochta xabarini yuboradilar. Ilova Cloudflare infratuzilmasida domen bilan bog'liq obfuskatsiyalangan JavaScript kodini o'z ichiga oladi. Ushbu domen JSON formatida bir nechta turdagi zararli yuklarni etkazib berish uchun ishlatiladi. Taqiqlashdan qochish uchun jinoyatchilar zararli fayllarni tezda o'zgartirishi mumkin.
Hujumning ikkinchi bosqichini amalga oshirish uchun JSON URLdan ajralib, base64-dan array-ga aylanadi, HTML-fayl nomini moslashtirish uchun qayta nomlanadi. Keyin zararli dasturni foydalanuvchining kompyuteriga yuklashni boshlaydigan maxsus avtomatik (havola) o'tish aloqasi hosil bo'ladi.
Uchinchi bosqich YouTube va Facebook xizmatlarida tajovuzkorlarning hisoblari tomonidan boshqariladigan zararli DLL kutubxonasini yuklab olishdan foydalanadi. Bu holda hisoblar C&C-server rolini o'ynaydi.
Xavfsizlik tadqiqotchilari o'tgan oyda Astaroth zararkunandalari tarqalishini aniqladilar, ammo o'sha paytdan beri tajovuzkorlar virusli tashkilotlarda o'z izlarini aniqlashdan yashirish uchun yangi texnikani qo'llashni boshladilar.
Batafsil: https://www.securitylab.ru/news/500788.php