Omarbeidet JSSLoader Leverer Carbanak Trojan
Refactoring-kode er en populær teknikk som programvareutviklere bruker for, i lekmannsbetingelser, å endre den interne strukturen i programmet sitt uten å endre oppførselen i det hele tatt. Malwareutviklere benytter også slike teknikker for å forbedre prosjektene sine på forskjellige måter. Et av prosjektene som nylig har gjennomgått en slik endring er JSSLoader Trojan. Imidlertid, i stedet for å bare optimalisere koden litt, valgte kriminelle bak JSSLoader å omskrive den ved hjelp av et annet programmeringsspråk. Mens den originale JSSLoader Trojan ble skrevet i .NET, er varianten utgitt i juni 2021 basert på C ++.
Hvorfor ble JSSLoader omskrevet?
En av fordelene med å bytte skadelig programvare til et helt annet programmeringsspråk er at det kan gjøre gjeldende sikkerhetsmarkører og gjenkjenninger ubrukelige. Dette har sannsynligvis vært det primære målet for JSSLoaders utviklere - å unngå brannmur og antivirusprogramvare med lanseringen av den nye varianten. Selvfølgelig kan du være trygg på at anerkjente antivirusverktøy har mottatt de nødvendige oppdateringene for å sikre at den nye JSSLoader ikke får sjansen til å forårsake skade.
Cybersecurity-eksperter uttaler at JSSLoaders nye variant ikke har noen forbedringer når det gjelder funksjonalitet. Skadelig programvare distribueres imidlertid gjennom nye spam-kampanjer via e-post og flere triks. Gruppen bak denne operasjonen blir sporet under aliaset TA543, og deres nåværende kampanje går etter hundrevis av organisasjoner som opererer i forskjellige sektorer - helsetjenester, detaljhandel, teknologi, økonomi og andre.
Formålet med 2021 JSSLoader
Akkurat som andre Trojan Loaders, gjør denne heller ikke mye alene. Det må kobles sammen med en ekstra malware-familie - målet med JSSLoader er å sikre at ekstra nyttelast lastes sømløst uten å heve noen røde flagg. Malwarefamiliene som C ++ -varianten av JSSLoader Trojan bruker, kan variere, men de ser ut til å være veldig lik arsenalet til FIN7-hackinggruppen . For eksempel ble noen av JSSLoaders aktive eksemplarer sett å levere en variant av Carbanak banktrojan.
Malwareutviklere prøver hele tiden å være et skritt foran leverandører av antivirusprodukter, og JSSLoaders komplette strukturendring er et slikt forsøk. Å følge den beste trygge nettsurfingspraksis og bruke regelmessige oppdateringer på antivirusprogramvaren din, bør være nok til å redusere angrep som beskrevet ovenfor.