Cybersicherheitsforscher haben das Command-and-Control (C2)-Server der bekannten Malware-Familie SystemBC untersucht. SystemBC kann auf dem Schwarzmarkt erworben werden und wird in einem Archiv geliefert, das das Implantat, einen C2-Server und ein Web-Verwaltungsportal enthält, das in PHP geschrieben ist. Der Anbieter von Risiko- und Finanzberatungslösungen hat einen Anstieg der Verwendung von Malware im zweiten und dritten Quartal 2023 festgestellt. SystemBC, das erstmals 2018 in freier Wildbahn beobachtet wurde, ermöglicht es Angreifern, einen kompromittierten Host fernzusteuern und zusätzliche Malware-Module zu laden, darunter Trojaner, Cobalt Strike und Ransomware. Die Malware verwendet SOCKS5-Proxies, um Netzwerkverkehr zu verschleiern und stellen damit einen permanenten Zugangsmechanismus für die Nachexploitation dar. Kunden, die SystemBC erwerben, erhalten ein Installationspaket mit dem ausführbaren Implantat, Windows- und Linux-Binärdateien für den C2-Server und eine PHP-Datei für die Benutzeroberfläche des C2-Panels. Der C2-Server verwendet drei TCP-Ports für den C2-Verkehr, die Kommunikation zwischen dem Server und der PHP-basierten Oberfläche des Panels sowie für jedes aktive Implantat. Der Server protokolliert außerdem Informationen über die Kommunikation des Implantats sowie der Opfer. Das minimalistische PHP-basierte Panel zeigt eine Liste der aktiven Implantate an und ermöglicht das Ausführen von Shellcode und beliebigen Dateien auf einem infizierten Rechner. Die Forscher stellen fest, dass der Shellcode nicht nur auf eine Rückverbindung beschränkt ist, sondern auch volle Fernzugriffsfunktionen bietet. Gleichzeitig mit der Analyse von SystemBC hat das Unternehmen eine aktualisierte Version des Remote Access Trojan DarkGate analysiert. Dieser Trojaner ermöglicht es Angreifern, Systeme vollständig zu kompromittieren, sensible Daten auszuspionieren und weitere Malware zu verbreiten. DarkGate verschlüsselt die Konfiguration und die Ausgabe des Keyloggers, wobei eine kundenspezifische Base64-Zuordnung verwendet wird. Die Forscher haben jedoch eine Schwachstelle in dieser Zuordnung entdeckt, die es ermöglicht, die auf der Festplatte gespeicherten Dateien zu entschlüsseln. Dies ermöglicht es den Forensik-Analysten, die Konfiguration und die Keylogger-Dateien zu entschlüsseln, ohne zuerst die Hardware-ID zu ermitteln. Die Keylogger-Dateien enthalten gestohlene Tastenanschläge, die Passwörter, E-Mails und andere sensible Informationen umfassen können.