Omarbejdet JSSLoader leverer Carbanak Trojan

Refactoring-kode er en populær teknik, som softwareudviklere bruger til at lægge ordet på at ændre den interne struktur i deres program uden at ændre dets adfærd overhovedet. Malwareudviklere anvender også sådanne teknikker til at forbedre deres projekter på forskellige måder. Et af de projekter, der for nylig har gennemgået en sådan ændring, er JSSLoader Trojan. I stedet for blot at optimere koden en smule valgte de kriminelle bag JSSLoader at omskrive den ved hjælp af et andet programmeringssprog. Mens den originale JSSLoader Trojan blev skrevet i .NET, er den variant, der blev frigivet i juni 2021, baseret på C ++.

Hvorfor blev JSSLoader omskrevet?

En af fordelene ved at skifte malware til et helt andet programmeringssprog er, at det kan gøre nuværende sikkerhedsmarkører og -detekteringer ubrugelige. Dette har sandsynligvis været det primære mål for JSSLoaders udviklere - at undgå firewall og antivirussoftware med lanceringen af den nye variant. Selvfølgelig kan du være sikker på, at velrenommerede antivirusværktøjer har modtaget de nødvendige opdateringer for at sikre, at den nye JSSLoader ikke får en chance for at forårsage skade.

Cybersikkerhedseksperter siger, at JSSLoaders nye variant ikke indeholder nogen forbedringer med hensyn til funktionalitet. Malware distribueres dog gennem nye e-mail-spam-kampagner og yderligere tricks. Gruppen bag denne operation spores under aliaset TA543, og deres nuværende kampagne går efter hundredvis af organisationer, der opererer i forskellige sektorer - sundhedspleje, detailhandel, teknologi, økonomi og andre.

Formålet med 2021 JSSLoader

Ligesom andre Trojan Loaders gør denne heller ikke meget alene. Det skal parres med en ekstra malware-familie - målet med JSSLoader er at sikre, at ekstra nyttelast indlæses problemfrit uden at hæve røde flag. Malwarefamilierne, som C ++ - varianten af JSSLoader Trojan bruger, kan variere, men de ser ud til at ligne meget på FIN7-hackinggruppens arsenal. For eksempel blev nogle af JSSLoaders aktive kopier set leveret en variant af Carbanak bank Trojan.

Malwareudviklere forsøger konstant at være et skridt foran leverandører af antivirusprodukter, og JSSLoaders komplette strukturændring er et sådant forsøg. At følge den bedste sikre browsing-praksis og anvende regelmæssige opdateringer til din antivirussoftware bør være nok til at afbøde angreb som beskrevet ovenfor.