BLISTER Malware bringer RAT-er til kompromitterte nettverk
BLISTER Malware er en ny nyttelast som brukes til å levere annen skadelig programvare til enhetene den infiserer. Trusselen ser ut til å være i stand til å omgå noen grunnleggende sikkerhetstiltak i Windows. Den oppnår dette ved å bruke et falskt kodesigneringssertifikat som utviklerne har klart å skaffe seg. Dette er på ingen måte en ny teknikk – kapring av kodesigneringssertifikater har vært populært blant skadevareutviklere i årevis.
Cybersikkerhetsforskere mener at skaperne av BLISTER Malware kan ha skaffet seg sertifikatet ved å kompromittere sikkerheten til et legitimt selskap, og deretter brukt legitimasjonen deres til å kontakte Sectigo, en leverandør av digital identitet. Det ser ut til at sertifikatet som blemme Malware bruk har blitt utstedt den 23. august, og den tilhører Blist LLC, et selskap som bruker et Russland-baserte e-postleverandør. Dette bekrefter imidlertid ikke nødvendigvis nasjonaliteten til BLISTER Malwares skapere.
Når BLISTER Malware er lansert, vil den begynne å dekode den sterkt tilslørte koden den bruker for å initialisere angrepet. Men etter at dekodingsoppgaven er fullført, vil skadelig programvare forsinke neste trinn med 10 minutter – et enkelt tiltak for å unngå sandkasseanalyse.
Når BLISTER Malware er kjørt, fortsetter den ved å slippe filene til %ProgramData%-mappen, samt ved å opprette en ny oppføring i oppstartsmappen. BLISTER Malware ser ut til å bli brukt i kombinasjon med Remote Access Trojans (RATs) og verktøy som Cobalt Strike beacon og BitRAT. Sluttmålet til de kriminelle er ennå ikke klart, men de ser ut til å prøve å ta kontroll over hele nettverk ved å spre seg sideveis. Systemer og nettverk kan være sikre fra BLISTER Malware ved å bruke robuste sikkerhetstiltak, samt ved å sikre at alle systemoperatører er kjent med de beste sikre nettsurfingspraksis.