Flagpro Malware découvert sur les réseaux d'entreprises japonaises
Au cours des derniers jours de 2021, les chercheurs en sécurité ont identifié une nouvelle famille de logiciels malveillants, qui est utilisée dans des attaques contre des entreprises japonaises. Le même coupable de ces attaques est le groupe Advanced Persistent Threat (APT) suivi sous le pseudonyme BlackTech . Ils se spécialisent dans l'espionnage et leur dernier implant s'appelle Flagpro.
Le Flagpro Malware est livré aux victimes via des e-mails de phishing, qui semblent être personnalisés pour chaque victime. Les criminels prétendent envoyer les messages de partenaires dignes de confiance, améliorant ainsi les chances que les victimes finissent par interagir avec le message. Le faux e-mail contient une archive protégée par mot de passe, qui est censée contenir un contenu important. Cependant, les victimes qui l'ouvrent verront un document XLSM, qui fournit le Flagpro Malware grâce à l'utilisation intelligente de scripts de macro.
Si la macro est exécutée avec succès, la charge utile de Flagpro Malware sera déposée dans le répertoire de démarrage de Windows, gagnant ainsi en persistance. La menace se connecte ensuite à un serveur distant via le protocole HTTP et envoie des informations de base sur la machine de la victime. Les criminels peuvent ensuite utiliser Flagpro Malware pour exécuter des commandes à distance ou pour fournir des charges utiles supplémentaires.
Les premières variantes du Flagpro Malware remontent à juin 2020, et il semble que les criminels aient publié plusieurs mises à jour depuis lors. L'une des dernières variantes est capable de fermer automatiquement les boîtes de dialogue Windows que l'activité de l'implant pourrait engendrer et révéler sa présence. Apparemment, il est capable de détecter les noms de dialogue spécifiques au Japon, à Taïwan, en chinois et en anglais - cela signifie probablement que le logiciel malveillant Flagpro est également sur le point d'attaquer d'autres pays. Le meilleur moyen de protéger les réseaux et les systèmes contre les attaques BlackTech est d'investir dans des mesures de sécurité améliorées, ainsi que de s'assurer que tous les employés connaissent les principaux mécanismes de propagation des logiciels malveillants utilisés par les cybercriminels. Une précédente famille d'implants BlackTech est le Gh0stTimes Malware .