JSSLoader retravaillé fournit le cheval de Troie Carbanak
Le refactoring de code est une technique populaire que les développeurs de logiciels utilisent pour, en termes simples, modifier la structure interne de leur programme sans changer du tout son comportement. Les développeurs de logiciels malveillants utilisent également de telles techniques pour améliorer leurs projets de diverses manières. L'un des projets qui a récemment subi un tel changement est le cheval de Troie JSSLoader. Cependant, au lieu de simplement optimiser un peu le code, les criminels derrière le JSSLoader ont choisi de le réécrire à l'aide d'un autre langage de programmation. Alors que le cheval de Troie JSSLoader original a été écrit en .NET, la variante publiée en juin 2021 est basée sur C++.
Pourquoi le JSSLoader a-t-il été réécrit ?
L'un des avantages du passage des logiciels malveillants à un langage de programmation entièrement différent est qu'il peut rendre inutiles les marqueurs de sécurité et les détections actuels. Cela a probablement été l'objectif principal des développeurs de JSSLoader - échapper aux pare-feu et aux logiciels antivirus avec le lancement de la nouvelle variante. Bien sûr, vous pouvez être assuré que des outils antivirus réputés ont reçu les mises à jour nécessaires pour garantir que le nouveau JSSLoader ne risque pas de causer des dommages.
Les experts en cybersécurité déclarent que la nouvelle variante de JSSLoader ne présente aucune amélioration en termes de fonctionnalité. Le malware, cependant, est distribué via de nouvelles campagnes de spam par e-mail et des astuces supplémentaires. Le groupe derrière cette opération est suivi sous l'alias TA543, et leur campagne actuelle s'attaque à des centaines d'organisations opérant dans divers secteurs - soins de santé, vente au détail, technologie, finance et autres.
Le but du JSSLoader 2021
Tout comme les autres Trojan Loaders, celui-ci ne fait pas grand-chose tout seul. Il doit être associé à une famille de logiciels malveillants supplémentaire - l'objectif du JSSLoader est de garantir que les charges utiles supplémentaires sont chargées de manière transparente sans déclencher de drapeaux rouges. Les familles de logiciels malveillants utilisées par la variante C++ du cheval de Troie JSSLoader peuvent varier, mais elles semblent être très similaires à l'arsenal du groupe de piratage FIN7 . Par exemple, certaines des copies actives de JSSLoader ont été vues en train de livrer une variante du cheval de Troie bancaire Carbanak.
Les développeurs de logiciels malveillants essaient constamment de garder une longueur d'avance sur les fournisseurs de produits antivirus, et le changement structurel complet de JSSLoader est l'une de ces tentatives. Suivre les meilleures pratiques de navigation Web sécurisées et appliquer des mises à jour régulières à votre logiciel antivirus devrait suffire à atténuer les attaques comme celle décrite ci-dessus.