Az átdolgozott JSSLoader a Carbanak trójai programot nyújtja

A kód újrafeldolgozása egy olyan népszerű technika, amelyet a szoftverfejlesztők laikusok szerint módosítanak programjuk belső felépítésén, anélkül, hogy annak viselkedését megváltoztatnák. A rosszindulatú programok fejlesztői is alkalmaznak ilyen technikákat, hogy különböző módon fejlesszék projektjeiket. Az egyik olyan projekt, amely nemrégiben ilyen változáson ment keresztül, a JSSLoader Trojan. Azonban ahelyett, hogy egyszerűen optimalizálnák a kódot, a JSSLoader mögött álló bűnözők úgy döntöttek, hogy átírják azt egy másik programozási nyelv segítségével. Míg az eredeti JSSLoader trójai programot a .NET-ben írták, a 2021 júniusában kiadott változat a C ++ alapú.

Miért írták át a JSSLoader-t?

A rosszindulatú programok teljesen más programnyelvre való átállításának egyik előnye, hogy használhatatlanná teheti a jelenlegi biztonsági jelzéseket és észleléseket. Valószínűleg ez volt a JSSLoader fejlesztőinek elsődleges célja - elkerülni a tűzfalat és a víruskereső szoftvereket az új változat bevezetésével. Természetesen megnyugodhat, hogy a jó nevű víruskereső eszközök megkapták a szükséges frissítéseket annak biztosítására, hogy az új JSSLoader ne kapjon esélyt kárt okozni.

A kiberbiztonsági szakértők kijelentik, hogy a JSSLoader új változata nem tartalmaz javulást a funkcionalitás tekintetében. A rosszindulatú programokat azonban új e-mail spam kampányok és további trükkök útján terjesztik. A művelet mögött álló csoportot a TA543 álnéven követik, és jelenlegi kampányuk több száz olyan szervezet után megy, amelyek különböző ágazatokban működnek - egészségügy, kiskereskedelem, technológia, pénzügy és mások.

A 2021-es JSSLoader célja

Csakúgy, mint más trójai rakodók, ez sem sokat tesz önmagában. Párosítani kell egy további rosszindulatú program-családdal - a JSSLoader célja az, hogy az extra hasznos terheléseket zökkenőmentesen töltsék fel vörös zászlók felemelése nélkül. A JSSLoader trójai C ++ változata által használt rosszindulatú programcsaládok változhatnak, de úgy tűnik, nagyon hasonlítanak a FIN7 hackercsoport arzenáljára. Például a JSSLoader aktív példányai közül néhány a Carbanak banki trójai változat egyikét szolgáltatta.

A rosszindulatú programok fejlesztői folyamatosan próbálnak lépést tartani a víruskereső termékek gyártói előtt, és a JSSLoader teljes strukturális változása ilyen kísérlet. A legjobb biztonságos böngészési gyakorlat betartásával és a víruskereső szoftver rendszeres frissítésének elegendőnek kell lennie a fent leírt támadások enyhítéséhez.