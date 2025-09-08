Sie navigiert zu http://checkip.amazonaws.com und fragt den Body der Seite ab. Abgesehen von dieser Handlung haben wir keine andere Aktivität in diesem Vektor gesehen. Wir konnten auch keine komplexeren Versionen dieser Malware finden.

Wenn der Body erfolgreich abgerufen wurde, ruft die Malware eine Funktion namens addHttpbot auf, die eine POST-Anforderung von der angegebenen IP an http://wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion/httpbot/add sendet (beachten Sie das http-Endpunkt-Präfix), wobei sich die Quell-IP-Adresse der Malware und das Ziel, zu dem sie Zugang fand, auf Port 9222 befinden.

Theoretisch könnte der Angreifer in zukünftigen Varianten nach dem Zugriff auf einen Remote-Debugging-Port mehrere böswillige Handlungen ausführen, darunter:

Diebstahl sensibler Daten wie Cookies oder Kreditkartennummern

externer Zugriff auf eingeschränkte Informationen wie z. B. Cloud-Metadaten

Durchführung von DDoS-Angriffen (Distributed Denial of Service)

Download von Remote-Daten

Es ist auch wichtig zu beachten, dass beim Freigeben eines Chrome-Browsers über --remote-debugging-port standardmäßig nur Anfragen von localhost berücksichtigt werden. Jeder, der diesen Port im Internet freigibt, muss die --remote-debugging-address ausdrücklich festlegen.

Die Datei fragt auch ip-api ab, um deren ASN und Standort zu ermitteln, insbesondere mit einer Funktion namens IsAWSIP, obwohl wir keine Hinweise auf einen konkreten Missbrauch von AWS oder weitere damit zusammenhängende Logik gefunden haben. Die Logik könnte in einer zukünftigen Version der Malware enthalten sein.

Einige der zugrunde liegenden Mechanismen lassen uns glauben, dass es sich bei dieser Variante um eine anfängliche Version eines komplexen Botnets handelt, wir haben jedoch bisher keine vollständige Version gefunden.