YiBackdoor
A Zscaler ThreatLabz elemzése új, YiBackdoor néven azonosított kártevőcsaládot ismertet, amelyet júniusban észleltek, és amely jelentős kódátfedést mutat az IcedID és a Latrodectus mintákkal — ez arra utal, hogy a kezdeti hozzáférés biztosítására, majd további terjeszkedésre és adatgyűjtésre szánhatják. A malware képes rendszerinformációk gyűjtésére, képernyőmentések készítésére, tetszőleges parancsok végrehajtására és pluginek dinamikus telepítésére, így könnyen bővíthető funkcionalitású kémplatformként viselkedik.
Technikailag a YiBackdoor erős anti-analízis összetevőket tartalmaz, hypervisor-ellenőrzésekkel, futásidejű string-dekódolással és időméréses tesztekkel próbálja felismerni a sandboxokat, továbbá a hálózati kommunikációja dinamikus kulcsgenerálást alkalmaz (például naphoz kötött offsetekkel alakítja ki a titkosítási kulcsokat), ami megnehezíti a statikus alapon történő felismerést. A C2-kommunikáció struktúrája jellegzetes: a bot-azonosító és két URI-összetevő alapján épül fel az http(s)://C2/bot_id/uri1/uri2 formátum, és a forgalom TripleDES-szerű építéssel titkosított.
A ThreatLabz eddig korlátozott telepítéseket látott, ami arra utalhat, hogy a YiBackdoor fejlesztés vagy tesztelési fázisban van; ugyanakkor az IcedID/Latrodectus kapcsolódás miatt nem zárható ki, hogy később ransomware-kampányok vagy nagyobb betörések részeként használják fel.
