Przerobiony JSSLoader dostarcza trojana Carbanak

Refaktoryzacja kodu jest popularną techniką, którą twórcy oprogramowania używają do, mówiąc laikiem, modyfikowania wewnętrznej struktury ich programu bez zmiany jego zachowania. Deweloperzy złośliwego oprogramowania również stosują takie techniki do ulepszania swoich projektów na różne sposoby. Jednym z projektów, który niedawno przeszedł taką zmianę, jest trojan JSSLoader. Jednak zamiast po prostu nieco zoptymalizować kod, przestępcy stojący za JSSLoader zdecydowali się przepisać go przy użyciu innego języka programowania. Podczas gdy oryginalny trojan JSSLoader został napisany w .NET, wariant wydany w czerwcu 2021 r. bazuje na C++.

Dlaczego JSSLoader został przepisany?

Jedną z zalet zmiany złośliwego oprogramowania na zupełnie inny język programowania jest to, że może sprawić, że obecne znaczniki bezpieczeństwa i wykrycia staną się bezużyteczne. Prawdopodobnie był to główny cel twórców JSSLoadera – ominięcie zapory i oprogramowania antywirusowego wraz z wprowadzeniem nowego wariantu. Oczywiście możesz mieć pewność, że renomowane narzędzia antywirusowe otrzymały niezbędne aktualizacje, aby zapewnić, że nowy JSSLoader nie dostanie szansy na spowodowanie szkód.

Eksperci od cyberbezpieczeństwa twierdzą, że nowy wariant JSSLoadera nie zawiera żadnych ulepszeń pod względem funkcjonalności. Złośliwe oprogramowanie jest jednak rozpowszechniane za pośrednictwem nowych kampanii spamowych e-mail i dodatkowych sztuczek. Grupa stojąca za tą operacją jest śledzona pod pseudonimem TA543, a jej obecna kampania dotyczy setek organizacji działających w różnych sektorach – opieki zdrowotnej, handlu detalicznego, technologii, finansów i innych.

Cel 2021 JSSLoader

Podobnie jak inne trojany ładujące, ten również sam nie robi wiele. Musi być sparowany z dodatkową rodziną złośliwego oprogramowania — celem JSSLoadera jest zapewnienie, że dodatkowe ładunki są ładowane bezproblemowo bez wywoływania żadnych czerwonych flag. Rodziny szkodliwego oprogramowania używane przez wariant C++ trojana JSSLoader mogą się różnić, ale wydają się być bardzo podobne do arsenału grupy hakerskiej FIN7 . Na przykład, niektóre aktywne kopie JSSLoader dostarczały wariantu trojana bankowego Carbanak.

Twórcy złośliwego oprogramowania nieustannie starają się być o krok przed dostawcami produktów antywirusowych, a całkowita zmiana strukturalna JSSLoader jest jedną z takich prób. Postępowanie zgodnie z najlepszymi bezpiecznymi praktykami przeglądania sieci Web i regularne aktualizowanie oprogramowania antywirusowego powinno wystarczyć do złagodzenia ataków, takich jak opisany powyżej.