![](\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEi0WW_jfnBi-Ypls6JWci6TfGaTrPung8tmLU4du8l0-gZuO0RKemSJBwdUrL7QOFkIMX8sp9-6DpdgaMbbEzVTUJ5zlIimG8OfktSw5Fv8DN2JU4tOW2tnwOnVsqpCcHvZiE_I9_sjmlCeWzXNBhSCf_9dpkTlnikyexvPN10467R5_uD0OanigKgw46Jm\/s728-rw-ft-e30\/c2.jpg\")
<\/p>\nA an\u00e1lise do servidor C2 do malware SystemBC exp\u00f5e truques de entrega de carga \u00fatil.<\/p>\n
Pesquisadores de seguran\u00e7a cibern\u00e9tica lan\u00e7aram luz sobre o servidor de comando e controle (C2) de uma conhecida fam\u00edlia de malware chamada\u00a0SystemBC\u00a0.<\/p>\n
\u00a0<\/p>\n
\u201cO SystemBC pode ser adquirido em mercados clandestinos e \u00e9 fornecido em um arquivo contendo o implante, um servidor de comando e controle (C2) e um portal de administra\u00e7\u00e3o web escrito em PHP\u201d, informou\u00a0Kroll em an\u00e1lise publicada na semana passada.<\/p>\n
\u00a0<\/p>\n
O provedor de solu\u00e7\u00f5es de risco e consultoria financeira disse ter testemunhado um aumento no uso de malware durante o segundo e terceiro trimestre de 2023.<\/p>\n
\u00a0<\/p>\n
O SystemBC observado pela primeira vez em 2018, permite que os agentes de amea\u00e7as controlem remotamente um host comprometido e entreguem cargas adicionais, incluindo trojans, Cobalt Strike e ransomware. Ele tamb\u00e9m oferece suporte para lan\u00e7ar m\u00f3dulos auxiliares dinamicamente para expandir sua funcionalidade principal.<\/p>\n
\u00a0<\/p>\n
Um aspecto de destaque do malware gira em torno do uso de proxies SOCKS5 para mascarar o tr\u00e1fego de rede para a infraestrutura C2, agindo como um mecanismo de acesso persistente para p\u00f3s-explora\u00e7\u00e3o.<\/p>\n
\u00a0<\/p>\n
Os clientes que adquirem o SystemBC recebem um pacote de instala\u00e7\u00e3o que inclui o execut\u00e1vel do implante, bin\u00e1rios Windows e Linux para o servidor C2 e um arquivo PHP para renderizar a interface do painel C2\u00a0 juntamente com instru\u00e7\u00f5es em ingl\u00eas e russo que detalham as etapas e comandos para funcionar.<\/p>\n
\u00a0<\/p>\n
<\/p>\n
\u00a0<\/p>\n
Os execut\u00e1veis \u200b\u200bdo servidor C2 – “server.exe” para Windows e “server.out” para Linux s\u00e3o projetados para abrir pelo menos tr\u00eas portas TCP para facilitar o tr\u00e1fego C2, a comunica\u00e7\u00e3o entre processos (IPC) entre ele e o Interface de painel baseada em PHP (normalmente porta 4000) e uma para cada implante ativo (tamb\u00e9m conhecido como bot).<\/p>\n
\u00a0<\/p>\n
O componente servidor tamb\u00e9m utiliza outros tr\u00eas arquivos para registrar informa\u00e7\u00f5es sobre a intera\u00e7\u00e3o do implante como proxy e carregador, al\u00e9m de detalhes referentes \u00e0s v\u00edtimas.<\/p>\n
\u00a0<\/p>\n
O painel baseado em PHP, por outro lado \u00e9 de natureza minimalista e exibe uma lista de implantes ativos em qualquer momento. Al\u00e9m disso, ele atua como um canal para executar shellcode e arquivos arbitr\u00e1rios na m\u00e1quina da v\u00edtima.<\/p>\n
\u00a0<\/p>\n