Perdirbtas „JSSLoader“ pateikia „Carbanak“ Trojaną

„Refactoring“ kodas yra populiari technika, kurią programinės įrangos kūrėjai naudoja, kalbėdami paprastai, modifikuodami savo programos vidinę struktūrą, visiškai nepakeisdami jos elgesio. Kenkėjiškų programų kūrėjai taip pat naudoja tokius metodus, kad pagerintų savo projektus įvairiomis manieromis. Vienas iš projektų, neseniai įvykusių tokių pokyčių, yra „JSSLoader Trojan“. Tačiau užuot paprasčiausiai šiek tiek optimizavę kodą, „JSSLoader“ nusikaltėliai nusprendė jį perrašyti naudodami kitą programavimo kalbą. Nors originalus „JSSLoader Trojan“ buvo parašytas .NET, 2021 m. Birželio mėn. Išleistas variantas pagrįstas C ++.

Kodėl „JSSLoader“ buvo perrašyta?

Vienas iš kenkėjiškų programų keitimo į visiškai kitokią programavimo kalbą privalumų yra tai, kad dabartiniai saugos žymekliai ir aptikimai gali tapti nenaudingi. Greičiausiai tai buvo pagrindinis „JSSLoader“ kūrėjų tikslas - išvengti ugniasienės ir antivirusinės programinės įrangos paleidus naują variantą. Žinoma, galite būti tikri, kad gerbiami antivirusiniai įrankiai gavo reikiamus atnaujinimus, kad užtikrintų, jog naujasis „JSSLoader“ neturi galimybės padaryti žalos.

Kibernetinio saugumo ekspertai teigia, kad naujajame „JSSLoader“ variante nėra jokių funkcinių patobulinimų. Tačiau kenkėjiška programa platinama per naujas el. Pašto šlamšto kampanijas ir papildomas gudrybes. Grupė, vykdanti šią operaciją, yra stebima slapyvardžiu TA543, o dabartinė jų kampanija vyksta po šimtus organizacijų, veikiančių įvairiuose sektoriuose - sveikatos priežiūros, mažmeninės prekybos, technologijų, finansų ir kt.

2021 m. „JSSLoader“ tikslas

Kaip ir kiti „Trojan“ krautuvai, šis taip pat mažai ką daro. Jį reikia susieti su papildoma kenkėjiškų programų šeima - „JSSLoader“ tikslas yra užtikrinti, kad papildomos naudingos apkrovos būtų įkeltos sklandžiai, nepakeliant jokių raudonų vėliavų. Kenkėjiškų programų šeimos, kurias naudoja „JSSLoader Trojan“ C ++ variantas, gali skirtis, tačiau panašu, kad jos yra labai panašios į „ FIN7“ įsilaužimų grupės arsenalą. Pavyzdžiui, buvo pastebėta, kad kai kurios „JSSLoader“ aktyvios kopijos pateikia „Carbanak“ bankinio „Trojan“ variantą.

Kenkėjiškų programų kūrėjai nuolat stengiasi žengti žingsnį prieš antivirusinių produktų pardavėjus, o visi tokie „JSSLoader“ struktūriniai pokyčiai yra vienas iš tokių bandymų. Laikytis geriausios saugaus naršymo internete praktikos ir reguliariai atnaujinti antivirusinę programinę įrangą turėtų pakakti, kad būtų sumažintos tokios atakos, kaip aprašyta aukščiau.