Аналитики Palo Alto Networks сообщают, что как минимум с октября текущего года операторы трояна njRAT используют Pastebin в качестве управляющего сервера, чтобы избежать внимания со стороны ИБ-исследователей.
Отчет компании гласит, что Pastebin используется злоумышленниками для загрузки и выполнения пейлоадов вторичного уровня, что полностью избавляет их от необходимости иметь традиционный командно-управляющий сервер.
Пейлоады хакеров различаются по форме и формату. Так, в некоторых случаях дампы закодированы base64, в других случаях их истинную природу скрывают шестнадцатеричная кодировка и JSON; некоторые дампы сжаты, а другие представляют обычный текст, содержащий вредоносные URL-адреса.
Среди образцов, изученных экспертами, одна полезная нагрузка оказалась исполняемым файлом .NET, который злоупотреблял функциями Windows API для кейлоггинга и кражи данных. Другие образцы, аналогичные по функциям, требовали нескольких уровней декодирования для обнаружения конечного пейлоада. Эксперты полагают, что данные в формате JSON в теории могут быть файлами конфигурации малвари. Также контент с Pastebin использовался хакерами для указания на загрузки различного ПО, включая, например, ProxyScraper.
«Судя по нашему анализу, авторы малвари заинтересованы в размещении своих полезных нагрузок второго уровня на Pastebin, а также в шифровании или обфускации этих данных для обхода защитных решений.
Есть вероятность, что авторы вредоносных программ будут использовать подобные Pastebin сервисы в долгосрочной перспективе», — заключают исследователи.