BLISTER Malware bringer RAT'er til kompromitterede netværk

BLISTER Malware er en ny nyttelast, som bliver brugt til at levere anden malware til de enheder, den inficerer. Truslen ser ud til at være i stand til at omgå nogle grundlæggende sikkerhedsforanstaltninger i Windows. Det opnår den ved at bruge et falsk kodesigneringscertifikat, som udviklerne har formået at erhverve. Dette er på ingen måde en ny teknik - kapring af kodesigneringscertifikater har været populært blandt malware-udviklere i årevis.

Cybersikkerhedsforskere mener, at skaberne af BLISTER Malware kan have erhvervet certifikatet ved at kompromittere sikkerheden for en legitim virksomhed og derefter brugt deres legitimationsoplysninger til at kontakte Sectigo, en udbyder af digital identitet. Det fremgår, at det certifikat, blister Malware anvendelser er blevet udstedt på ^23. august, og det hører til Blist LLC, et selskab ved hjælp af en russisk-baserede e-mail-udbyder. Dette bekræfter dog ikke nødvendigvis nationaliteten af BLISTER Malwares skabere.

Når BLISTER Malware er lanceret, vil den begynde at afkode den stærkt slørede kode, den bruger til at initialisere angrebet. Men efter afkodningsopgaven er fuldført, vil malwaren forsinke det næste trin med 10 minutter – en simpel foranstaltning for at undgå sandkasseanalyse.

Når den er kørt, vinder BLISTER Malware vedholdenhed ved at droppe dens filer til mappen %ProgramData%, samt ved at oprette en ny post i startmappen. BLISTER Malware ser ud til at blive brugt i kombination med Remote Access Trojans (RAT'er) og hjælpeprogrammer såsom Cobalt Strike beacon og BitRAT. De kriminelles endelige mål er endnu ikke klart, men de ser ud til at forsøge at tage kontrol over hele netværk ved at sprede sig sideværts. Systemer og netværk kan være sikre mod BLISTER-malwaren ved at anvende robuste sikkerhedsforanstaltninger samt ved at sikre, at alle systemoperatører er fortrolige med den bedste sikker web-browsing-praksis.