BLISTER Malware bringer RAT-er til kompromitterte nettverk

BLISTER Malware er en ny nyttelast som brukes til å levere annen skadelig programvare til enhetene den infiserer. Trusselen ser ut til å være i stand til å omgå noen grunnleggende sikkerhetstiltak i Windows. Den oppnår dette ved å bruke et falskt kodesigneringssertifikat som utviklerne har klart å skaffe seg. Dette er på ingen måte en ny teknikk – kapring av kodesigneringssertifikater har vært populært blant skadevareutviklere i årevis.

Cybersikkerhetsforskere mener at skaperne av BLISTER Malware kan ha skaffet seg sertifikatet ved å kompromittere sikkerheten til et legitimt selskap, og deretter brukt legitimasjonen deres til å kontakte Sectigo, en leverandør av digital identitet. Det ser ut til at sertifikatet som blemme Malware bruk har blitt utstedt den ^23. august, og den tilhører Blist LLC, et selskap som bruker et Russland-baserte e-postleverandør. Dette bekrefter imidlertid ikke nødvendigvis nasjonaliteten til BLISTER Malwares skapere.

Når BLISTER Malware er lansert, vil den begynne å dekode den sterkt tilslørte koden den bruker for å initialisere angrepet. Men etter at dekodingsoppgaven er fullført, vil skadelig programvare forsinke neste trinn med 10 minutter – et enkelt tiltak for å unngå sandkasseanalyse.

Når BLISTER Malware er kjørt, fortsetter den ved å slippe filene til %ProgramData%-mappen, samt ved å opprette en ny oppføring i oppstartsmappen. BLISTER Malware ser ut til å bli brukt i kombinasjon med Remote Access Trojans (RATs) og verktøy som Cobalt Strike beacon og BitRAT. Sluttmålet til de kriminelle er ennå ikke klart, men de ser ut til å prøve å ta kontroll over hele nettverk ved å spre seg sideveis. Systemer og nettverk kan være sikre fra BLISTER Malware ved å bruke robuste sikkerhetstiltak, samt ved å sikre at alle systemoperatører er kjent med de beste sikre nettsurfingspraksis.