JSSLoader rielaborato fornisce il Trojan Carbanak
Il refactoring del codice è una tecnica popolare che gli sviluppatori di software utilizzano per modificare, in parole povere, la struttura interna del loro programma senza modificarne affatto il comportamento. Anche gli sviluppatori di malware impiegano tali tecniche per migliorare i loro progetti in vari modi. Uno dei progetti che di recente ha subito un tale cambiamento è il Trojan JSSLoader. Tuttavia, invece di ottimizzare un po' il codice, i criminali dietro JSSLoader hanno deciso di riscriverlo utilizzando un altro linguaggio di programmazione. Mentre il JSSLoader Trojan originale era scritto in .NET, la variante rilasciata a giugno 2021 si basa su C++.
Perché JSSLoader è stato riscritto?
Uno dei vantaggi di passare il malware a un linguaggio di programmazione completamente diverso è che può rendere inutili gli attuali indicatori di sicurezza e rilevamenti. Questo è stato probabilmente l'obiettivo principale degli sviluppatori di JSSLoader: eludere firewall e software antivirus con il lancio della nuova variante. Naturalmente, puoi essere certo che strumenti antivirus affidabili hanno ricevuto gli aggiornamenti necessari per garantire che il nuovo JSSLoader non abbia la possibilità di causare danni.
Gli esperti di sicurezza informatica affermano che la nuova variante di JSSLoader non presenta miglioramenti in termini di funzionalità. Il malware, tuttavia, viene distribuito attraverso nuove campagne di spam e-mail e trucchi aggiuntivi. Il gruppo dietro questa operazione è tracciato sotto l'alias TA543 e la loro attuale campagna va contro centinaia di organizzazioni che operano in vari settori: sanità, vendita al dettaglio, tecnologia, finanza e altri.
Lo scopo del JSSLoader 2021
Proprio come altri Trojan Loader, anche questo non fa molto da solo. Deve essere abbinato a una famiglia di malware aggiuntiva: l'obiettivo di JSSLoader è garantire che i payload aggiuntivi vengano caricati senza problemi senza sollevare bandiere rosse. Le famiglie di malware utilizzate dalla variante C++ del Trojan JSSLoader possono variare, ma sembrano essere molto simili all'arsenale del gruppo di hacker FIN7 . Ad esempio, alcune delle copie attive di JSSLoader sono state viste fornire una variante del Trojan bancario Carbanak.
Gli sviluppatori di malware cercano costantemente di stare un passo avanti rispetto ai fornitori di prodotti antivirus e il completo cambiamento strutturale di JSSLoader è uno di questi tentativi. Seguire le migliori pratiche di navigazione Web sicure e applicare aggiornamenti regolari al software antivirus dovrebbe essere sufficiente per mitigare gli attacchi come quello descritto sopra.