Flagpro-Malware in japanischen Firmennetzwerken entdeckt
In den letzten Tagen des Jahres 2021 haben Sicherheitsforscher eine neue Malware-Familie identifiziert, die bei Angriffen auf japanische Unternehmen eingesetzt wird. Ein ähnlicher Täter dieser Angriffe ist die Gruppe Advanced Persistent Threat (APT), die unter dem Pseudonym BlackTech verfolgt wird . Sie sind auf Spionage spezialisiert und ihr neuestes Implantat trägt den Namen Flagpro.
Die Flagpro-Malware wird den Opfern durch Phishing-E-Mails zugestellt, die für jedes Opfer individuell angepasst zu sein scheinen. Die Kriminellen geben vor, die Nachrichten von vertrauenswürdigen Partnern zu senden, und erhöhen so die Chancen, dass Opfer mit der Nachricht interagieren. Die gefälschte E-Mail enthält ein passwortgeschütztes Archiv, das wichtige Inhalte enthalten soll. Opfer, die es öffnen, sehen jedoch ein XLSM-Dokument, das die Flagpro-Malware durch den geschickten Einsatz von Makroskripten liefert.
Wenn das Makro erfolgreich ausgeführt wird, wird die Flagpro-Malware-Nutzlast im Startverzeichnis von Windows abgelegt und gewinnt so an Persistenz. Die Bedrohung verbindet sich dann über das HTTP-Protokoll mit einem Remote-Server und sendet einige grundlegende Informationen über den Computer des Opfers. Die Kriminellen können dann die Flagpro-Malware verwenden, um Befehle aus der Ferne auszuführen oder zusätzliche Nutzlasten zu liefern.
Die ersten Varianten der Flagpro-Malware stammen aus dem Juni 2020, und es scheint, dass die Kriminellen seitdem mehrere Updates veröffentlicht haben. Eine der neuesten Varianten ist in der Lage, automatisch Windows-Dialoge zu schließen, die die Aktivität des Implantats hervorbringen und seine Anwesenheit verraten könnten. Angeblich kann es die spezifischen Dialognamen in Japan, Taiwan, Chinesisch und Englisch erkennen – dies könnte bedeuten, dass die Flagpro-Malware auch andere Länder angreifen wird. Der beste Weg, Netzwerke und Systeme vor BlackTech-Angriffen zu schützen, besteht darin, in verbesserte Sicherheitsmaßnahmen zu investieren und sicherzustellen, dass alle Mitarbeiter mit den wichtigsten Mechanismen zur Verbreitung von Malware von Cyberkriminellen vertraut sind. Eine frühere BlackTech-Implantatfamilie ist die Gh0stTimes-Malware .