Flagpro malware felfedezésre került a japán vállalati hálózatokon

2021 utolsó napjaiban biztonsági kutatók egy új malware családot azonosítottak, amelyet japán cégek elleni támadásokban használnak fel. A támadások hasonló elkövetője az Advanced Persistent Threat (APT) csoport, amelyet BlackTech álnéven követnek. Kémkedésre szakosodtak, legújabb implantátumuk pedig a Flagpro nevet viseli.

A Flagpro Malware adathalász e-maileken keresztül jut el az áldozatokhoz, amelyek a jelek szerint minden áldozathoz vannak szabva. A bűnözők úgy tesznek, mintha megbízható partnerektől küldenék az üzeneteket, így növelve annak esélyét, hogy az áldozatok kapcsolatba kerüljenek az üzenettel. A hamis e-mail jelszóval védett archívumot tartalmaz, amely állítólag fontos tartalmat tartalmaz. Azonban az áldozatok, akik megnyitják, egy XLSM dokumentumot fognak látni, amely makró szkriptek okos használatával szállítja a Flagpro Malware-t.

Ha a makró sikeresen lefut, a Flagpro Malware rakomány kikerül a Windows indítási könyvtárába, így állandósul. A fenyegetés ezután a HTTP protokollon keresztül csatlakozik egy távoli szerverhez, és néhány alapvető információt küld az áldozat gépéről. A bűnözők ezután a Flagpro Malware segítségével parancsokat hajthatnak végre távolról, vagy további rakományokat szállíthatnak.

A Flagpro Malware első változatai 2020 júniusáig nyúlnak vissza, és úgy tűnik, hogy a bűnözők azóta több frissítést is kiadtak. Az egyik legújabb változat képes automatikusan bezárni a Windows párbeszédpaneleket, amelyekben az implantátum tevékenysége megjelenhet, és felfedheti jelenlétét. Állítólag képes észlelni a konkrét párbeszédneveket Japánban, Tajvanon, kínaiul és angolul – ez valószínűleg azt jelenti, hogy a Flagpro Malware más országokat is megtámad. A hálózatok és rendszerek BlackTech támadásokkal szembeni védelmének legjobb módja a fokozott biztonsági intézkedésekbe való befektetés, valamint annak biztosítása, hogy minden alkalmazott ismerje a kiberbűnözők által használt elsődleges rosszindulatú programok terjedési mechanizmusait. A BlackTech korábbi implantátumcsaládja a Gh0stTimes Malware .