BLISTER kenkėjiška programa atneša žiurkes į pažeistus tinklus

BLISTER kenkėjiška programa yra nauja naudingoji apkrova, kuri naudojama kitoms kenkėjiškoms programoms pristatyti į įrenginius, kuriuos ji užkrečia. Atrodo, kad grėsmė gali apeiti kai kurias pagrindines „Windows“ saugos priemones. Tai pasiekiama naudojant netikrą kodo pasirašymo sertifikatą, kurį kūrėjams pavyko įsigyti. Tai jokiu būdu nėra nauja technika – kodo pasirašymo sertifikatų užgrobimas tarp kenkėjiškų programų kūrėjų buvo populiarus daugelį metų.

Kibernetinio saugumo tyrinėtojai mano, kad BLISTER kenkėjiškos programinės įrangos kūrėjai galėjo įgyti sertifikatą pakenkdami teisėtos įmonės saugumui, o tada pasinaudoję savo kredencialais susisiekė su „Sectigo“, skaitmeninės tapatybės teikėju. Atrodo, kad pažyma, kad naudojimo LIZDINĖ kenkėjiškų programų buvo išduotas remiantis 23 ^rd rugpjūčio, ir tai priklauso Blist LLC, bendrovė, naudojant Rusijos remiantis elektroninio pašto paslaugų teikėjas. Tačiau tai nebūtinai patvirtina BLISTER kenkėjiškos programos kūrėjų pilietybę.

Kai BLISTER kenkėjiška programa bus paleista, ji pradės dekoduoti labai užmaskuotą kodą, kurį naudoja atakai inicijuoti. Tačiau, kai dekodavimo užduotis bus baigta, kenkėjiška programa atidės kitą veiksmą 10 minučių – tai paprasta priemonė išvengti smėlio dėžės analizės.

Paleidus, BLISTER kenkėjiška programa įgauna patvarumą, numesdama failus į aplanką %ProgramData% ir paleisties kataloge sukurdama naują įrašą. Panašu, kad BLISTER kenkėjiška programa naudojama kartu su nuotolinės prieigos Trojos arkliais (RAT) ir tokiomis priemonėmis kaip Cobalt Strike švyturys ir BitRAT. Galutinis nusikaltėlių tikslas dar nėra aiškus, tačiau atrodo, kad jie bando perimti ištisų tinklų kontrolę, pasklisdami į šoną. Sistemos ir tinklai gali būti apsaugoti nuo BLISTER kenkėjiškos programinės įrangos, naudojant patikimas saugos priemones, taip pat užtikrinant, kad visi sistemos operatoriai būtų susipažinę su geriausia saugaus naršymo internete praktika.