Reworked JSSLoader Παραδίδει το Carbanak Trojan

Το Refactoring code είναι μια δημοφιλής τεχνική που χρησιμοποιούν οι προγραμματιστές λογισμικού για να τροποποιήσουν την εσωτερική δομή του προγράμματός τους, χωρίς να αλλάξουν καθόλου τη συμπεριφορά του. Οι προγραμματιστές κακόβουλου λογισμικού χρησιμοποιούν επίσης τέτοιες τεχνικές για την ενίσχυση των έργων τους με διάφορους τρόπους. Ένα από τα έργα που υπέστησαν πρόσφατα μια τέτοια αλλαγή είναι το JSSLoader Trojan. Ωστόσο, αντί να απλώς βελτιστοποιήσουν λίγο τον κώδικα, οι εγκληματίες πίσω από το JSSLoader επέλεξαν να τον ξαναγράψουν χρησιμοποιώντας μια άλλη γλώσσα προγραμματισμού. Ενώ το αρχικό JSSLoader Trojan γράφτηκε στο .NET, η παραλλαγή που κυκλοφόρησε τον Ιούνιο του 2021 βασίζεται στο C ++.

Γιατί ξαναγράφηκε το JSSLoader;

Ένα από τα πλεονεκτήματα της αλλαγής κακόβουλου λογισμικού σε μια εντελώς διαφορετική γλώσσα προγραμματισμού είναι ότι μπορεί να καταστήσει άχρηστες τις τρέχουσες σημάνσεις ασφαλείας και ανιχνεύσεις. Αυτό πιθανότατα ήταν ο πρωταρχικός στόχος των προγραμματιστών του JSSLoader - να αποφύγει το λογισμικό τείχους προστασίας και προστασίας από ιούς με την κυκλοφορία της νέας παραλλαγής. Φυσικά, μπορείτε να είστε σίγουροι ότι αξιόπιστα εργαλεία προστασίας από ιούς έχουν λάβει τις απαραίτητες ενημερώσεις για να διασφαλίσουν ότι το νέο JSSLoader δεν θα έχει την ευκαιρία να προκαλέσει ζημιά.

Οι ειδικοί της κυβερνοασφάλειας δηλώνουν ότι η νέα παραλλαγή του JSSLoader δεν διαθέτει βελτιώσεις όσον αφορά τη λειτουργικότητα. Το κακόβουλο λογισμικό, ωστόσο, διανέμεται μέσω νέων καμπανιών ανεπιθύμητης αλληλογραφίας και πρόσθετων κόλπων. Η ομάδα πίσω από αυτήν την επιχείρηση παρακολουθείται με το ψευδώνυμο TA543 και η τρέχουσα εκστρατεία τους ακολουθεί εκατοντάδες οργανισμούς που δραστηριοποιούνται σε διάφορους τομείς - υγειονομική περίθαλψη, λιανική, τεχνολογία, χρηματοδότηση και άλλα.

Ο σκοπός του 2021 JSSLoader

Ακριβώς όπως και οι άλλοι Trojan Loaders, αυτό δεν κάνει πολλά από μόνο του. Πρέπει να συνδυαστεί με μια επιπλέον οικογένεια κακόβουλου λογισμικού - ο στόχος του JSSLoader είναι να διασφαλίσει ότι τα επιπλέον ωφέλιμα φορτία φορτώνονται απρόσκοπτα χωρίς να σηκώνουν κόκκινες σημαίες. Οι οικογένειες κακόβουλου λογισμικού που χρησιμοποιεί η παραλλαγή C ++ του JSSLoader Trojan ενδέχεται να διαφέρουν, αλλά φαίνεται να μοιάζουν πολύ με το οπλοστάσιο της ομάδας hacking FIN7 . Για παράδειγμα, ορισμένα από τα ενεργά αντίγραφα του JSSLoader εμφανίστηκαν να προσφέρουν μια παραλλαγή του Carbanak banking Trojan.

Οι προγραμματιστές κακόβουλου λογισμικού προσπαθούν συνεχώς να παραμένουν ένα βήμα μπροστά από τους προμηθευτές προϊόντων προστασίας από ιούς και η πλήρης δομική αλλαγή του JSSLoader είναι μια τέτοια προσπάθεια. Η τήρηση των βέλτιστων ασφαλών πρακτικών περιήγησης στο Web και η εφαρμογή τακτικών ενημερώσεων στο λογισμικό προστασίας από ιούς θα πρέπει να είναι αρκετή για τον μετριασμό των επιθέσεων όπως αυτή που περιγράφεται παραπάνω.