作り直されたJSSLoaderがCarbanakトロイの木馬を配信
コードのリファクタリングは、ソフトウェア開発者が素人の言葉で言えば、プログラムの動作をまったく変更せずにプログラムの内部構造を変更するために使用する一般的な手法です。マルウェア開発者は、このような手法を使用して、さまざまな方法でプロジェクトを強化します。最近このような変更が行われたプロジェクトの1つは、JSSLoaderトロイの木馬です。ただし、JSSLoaderの背後にいる犯罪者は、単にコードを少し最適化するのではなく、別のプログラミング言語を使用してコードを書き直すことを選択しました。元のJSSLoaderトロイの木馬は.NETで作成されましたが、2021年6月にリリースされた亜種はC ++に基づいています。
JSSLoaderが書き直されたのはなぜですか?
マルウェアをまったく異なるプログラミング言語に切り替えることの利点の1つは、現在のセキュリティマーカーと検出が役に立たなくなる可能性があることです。これは、JSSLoaderの開発者の主な目標である可能性があります。つまり、新しいバリアントのリリースでファイアウォールとウイルス対策ソフトウェアを回避することです。もちろん、信頼できるウイルス対策ツールが必要な更新を受信して、新しいJSSLoaderが損傷を引き起こす可能性がないことを確認できますのでご安心ください。
サイバーセキュリティの専門家は、JSSLoaderの新しい亜種は機能の面で何の改善も特徴としていないと述べています。ただし、マルウェアは、新しい電子メールスパムキャンペーンや追加のトリックを通じて配布されています。このオペレーションの背後にあるグループは、エイリアスTA543で追跡されており、現在のキャンペーンは、ヘルスケア、小売、テクノロジー、金融などのさまざまなセクターで運営されている何百もの組織を追跡しています。
2021JSSLoaderの目的
他のトロイの木馬ローダーと同じように、これもそれ自体ではあまり機能しません。追加のマルウェアファミリとペアにする必要があります。JSSLoaderの目標は、危険信号を発生させることなく、追加のペイロードがシームレスにロードされるようにすることです。 JSSLoaderトロイの木馬のC ++バリアントが使用するマルウェアファミリはさまざまですが、 FIN7ハッキンググループの武器と非常によく似ているようです。たとえば、JSSLoaderのアクティブなコピーの一部は、Carbanakバンキング型トロイの木馬の亜種を配信しているのが見られました。
マルウェア開発者は常にウイルス対策製品ベンダーの一歩先を行くように努めており、JSSLoaderの完全な構造変更はそのような試みの1つです。安全なWebブラウジングのベストプラクティスに従い、ウイルス対策ソフトウェアに定期的な更新を適用することで、上記のような攻撃を軽減するのに十分なはずです。