Οι συγγραφείς malware χρησιμοποιούν το Pastebin για να φιλοξενήσουν κώδικα backdoor, αναφέρει ο ερευνητής Denis Sinegubko.
Η code-sharing ιστοσελίδα χρησιμοποιήθηκε για να φιλοξενήσει τον κακόβουλο κώδικα που αργότερα χρησιμοποιήθηκε σε επιθέσεις εναντίον ιστοσελίδων της πλατφόρμας WordPress που έτρεχαν το δημοφιλές plugin RevSlider.
Ο Sinegubko, είναι ένας εργαζόμενος στη Sucuri και είναι γνωστός σαν whitehat malware αναλυτής του blog Unmaskparasites. Ο ερευνητής δήλωσε ότι η χρήση του Pastebin σαν ένας απομακρυσμένος server για malcode σε πολλές live επιθέσεις που έχουν εντοπιστεί, είναι πια πολύ συχνή.
“Τεχνικά, οι εγκληματίες χρησιμοποιούν το Ρastebin για το λόγο που δημιουργήθηκε – για να μοιραστούν τη δημιουργία ενός κώδικα Μόνο που ο κώδικας είναι κακόβουλος, και χρησιμοποιείται σε παράνομες δραστηριότητες απευθείας από την ιστοσελίδα Pastebin..
“Αυτή τη φορά βλέπουμε μια σχετικά μαζική χρήση του Ρastebin σε live επιθέσεις, κάτι το οποίο είναι αρκετά νέο για μας.”
Ο κώδικας εγχέει το περιεχόμενο μιας κωδικοποιημένης μεταβλητής Base64 στο $temp του WordPress core wp-links-opml.php και το αρχείο εκτελείται αμέσως. Η χρήση της παραμέτρου wp_nonce_once έκρυψε τη διεύθυνση του κακόβουλου paste σε μια προσπάθεια να αποτρέψουν τον αποκλεισμό ή τη διαγραφή του κακόβουλου κώδικα από το Pastebin. Αυτό του έδινε μεγαλύτερη ευελιξία για να εκτελέσουν οποιοδήποτε απόσπασμα κώδικα.
Ήταν μια προειδοποίηση για την κοινότητα του malware-busting να μην μοιράζονται malcode στο Ρastebin καθώς κάτι τέτοιο θα μπορούσε να χρησιμεύσει σαν ένας βολικός διακομιστής για τους επιτιθέμενους.
Το Pastebin λειτουργεί μια χαρά, δεδομένου ότι επιτρέπει στους κακόβουλους χρήστες για να κατεβάζουν τον κώδικα σε μορφή RAW. Ήταν τόσο αποτελεσματικό που ένας Ινδονησίας hacker “FathurFreaks” της Yogyakarta BlackHat έγραψε το PHP Encryptor.
Οι περισσότερες εταιρείες δεν έχουν κανένα νόμιμο λόγο να επιτρέπουν την πρόσβαση στο Pastebin, σύμφωνα με τον Kevin Fielder της RSA. Τον Απρίλη του 2013 ανέφερε σχετικά για ένα κακόβουλο λογισμικό που χρησιμοποιούσε το Pastebin για να πετάξει εκτελέσιμα Base64 σαν κείμενο στην ιστοσελίδα που χρησιμοποιήθηκε στη συνέχεια σαν malware που κλέβει κωδικούς πρόσβασης. Ο Fielder εντόπισε ότι το κακόβουλο λογισμικό έκανε αποκωδικοποίηση του κειμένου μέσα στο sandbox του.
“Στη τελική αποκλείστε το Pastebin, καθώς δεν υπάρχει έγκυρη χρήση του site από μια εταιρεία που δεν θα επιφέρει κάποιο σημαντικό κίνδυνο», δήλωσε εκείνη την εποχή.
“Αν δεν μπορείτε να το αποκλείσετε, θα πρέπει να προσέχετε για το κατεβαίνει και το τι ζητήθηκε.”
