天创培训:您身边的信息安全培训专家!
行业动态
售价仅50美元的Kardon Loader恶意软件允许客户构建自己的僵尸网络

售价仅50美元的Kardon Loader恶意软件允许客户构建自己的僵尸网络

Netscout Arbor公司的安全研究人员最近在地下论坛发现了一款名为“Kardon Loader”的恶意软件正在以50美元的低价被出售,宣传广告声称这只是一个公开测试版本,但其功能足以使得购买者能够构建自己的僵尸网络。

研究人员表示,Kardon Loader从本质上讲是一个恶意软件下载器,于今年4月底开始由一个代号为“Yattaze”的地下论坛用户出售。它不仅允许购买者构建自己的僵尸网络,而且还允许购买者建立自己的运营网络以进一步扩大客户群。

在宣传广告中,Kardon Loader被描述为是由ZeroCool僵尸网络重命名而来的,并且创建者还上传了一段用于展示管理面板功能的YouTube视频。

有意思的是,广告中还附带有一份声明,称不应将此软件用于恶意目的。另外,广告中的评论也表明,这款恶意软件目前并没有被广泛分发。根据测试屏幕截图显示,只有124台设备遭到了感染。

广告声称Kardon Loader提供或即将提供以下功能:

  • Bot功能

  • 下载并执行任务

  • 更新任务

  • 卸载任务

  • 用户模式Rootkit

  • RC4加密(尚未实施)

  • 调试和分析保护

  • TOR支持

  • 域名生成算法(DGA)

不过,Netscout Arbor公司的安全研究人员表示,在他们得到的样本中并没有这么多的功能。所有样本都使用了硬编码的命令和控制(C&C)URL,而不是DGA。在二进制文件中也没有TOR支持或用户模式Rootkit功能。

虽然Kardon Loader目前还处于开发初期阶段——公开测试阶段,但它的确已经实现了一些很实用的能力,比如允许购买者构建自己的僵尸网络并建立自己的运营网络。

总体而言,Kardon Loader仍然应该算是一个兼具多种功能的恶意软件下载器。此类恶意软件通常会被网络犯罪分子用来创建僵尸网络,以分发其他类型的恶意软件,如凭证盗取软件、勒索软件、银行木马等等。