A BLISTER rosszindulatú szoftverek RAT-okat juttatnak el a veszélyeztetett hálózatokhoz
A BLISTER Malware egy új rakomány, amelyet más rosszindulatú programok eljuttatására használnak az általa megfertőzött eszközökre. Úgy tűnik, hogy a fenyegetés képes megkerülni néhány alapvető biztonsági intézkedést a Windows rendszerben. Ezt egy hamis kód-aláíró tanúsítvány használatával éri el, amelyet a fejlesztőknek sikerült megszerezniük. Ez semmiképpen sem újszerű technika – a kód-aláíró tanúsítványok eltérítése évek óta népszerű a rosszindulatú programok fejlesztői körében.
A kiberbiztonsági kutatók úgy vélik, hogy a BLISTER Malware megalkotói egy törvényes vállalat biztonságának veszélyeztetésével szerezhették meg a tanúsítványt, majd hitelesítő adataikkal kapcsolatba léphettek a Sectigo-val, egy digitális identitásszolgáltatóval. Úgy tűnik, hogy a BLISTER Malware által használt tanúsítványt augusztus 23-án adták ki, és a Blist LLC-hez tartozik, amely egy oroszországi e-mail szolgáltatót használ. Ez azonban nem feltétlenül erősíti meg a BLISTER Malware készítőinek nemzetiségét.
Amikor a BLISTER Malware elindul, elkezdi dekódolni a támadás inicializálására használt, erősen homályos kódot. A dekódolási feladat befejezése után azonban a kártevő 10 perccel késlelteti a következő lépést – ez egy egyszerű intézkedés a sandbox elemzés elkerülésére.
Futás után a BLISTER Malware tartósabbá válik, ha fájljait a %ProgramData% mappába helyezi, valamint új bejegyzést hoz létre az indítási könyvtárban. Úgy tűnik, hogy a BLISTER Malware-t távelérési trójaikkal (RAT) és olyan segédprogramokkal együtt használják, mint a Cobalt Strike beacon és a BitRAT. A bûnözõk végcélja még nem világos, de úgy tûnik, oldalról terjedve próbálják átvenni az irányítást egész hálózatok felett. A rendszerek és hálózatok biztonságban lehetnek a BLISTER Malware ellen robusztus biztonsági intézkedések alkalmazásával, valamint annak biztosításával, hogy minden rendszerüzemeltető ismerje a legjobb biztonságos webböngészési gyakorlatokat.