Netscout Arbor公司的安全研究人员最近在地下论坛发现了一款名为“Kardon Loader”的恶意软件正在以50美元的低价被出售,宣传广告声称这只是一个公开测试版本,但其功能足以使得购买者能够构建自己的僵尸网络。
研究人员表示,Kardon Loader从本质上讲是一个恶意软件下载器,于今年4月底开始由一个代号为“Yattaze”的地下论坛用户出售。它不仅允许购买者构建自己的僵尸网络,而且还允许购买者建立自己的运营网络以进一步扩大客户群。
在宣传广告中,Kardon Loader被描述为是由ZeroCool僵尸网络重命名而来的,并且创建者还上传了一段用于展示管理面板功能的YouTube视频。
有意思的是,广告中还附带有一份声明,称不应将此软件用于恶意目的。另外,广告中的评论也表明,这款恶意软件目前并没有被广泛分发。根据测试屏幕截图显示,只有124台设备遭到了感染。
广告声称Kardon Loader提供或即将提供以下功能:
Bot功能
下载并执行任务
更新任务
卸载任务
用户模式Rootkit
RC4加密(尚未实施)
调试和分析保护
TOR支持
域名生成算法(DGA)
不过,Netscout Arbor公司的安全研究人员表示,在他们得到的样本中并没有这么多的功能。所有样本都使用了硬编码的命令和控制(C&C)URL,而不是DGA。在二进制文件中也没有TOR支持或用户模式Rootkit功能。
虽然Kardon Loader目前还处于开发初期阶段——公开测试阶段,但它的确已经实现了一些很实用的能力,比如允许购买者构建自己的僵尸网络并建立自己的运营网络。
总体而言,Kardon Loader仍然应该算是一个兼具多种功能的恶意软件下载器。此类恶意软件通常会被网络犯罪分子用来创建僵尸网络,以分发其他类型的恶意软件,如凭证盗取软件、勒索软件、银行木马等等。