Złośliwe oprogramowanie BLISTER przenosi szczury RAT do zaatakowanych sieci
Złośliwe oprogramowanie BLISTER to nowy ładunek, który jest używany do dostarczania innego złośliwego oprogramowania na urządzenia, które infekuje. Wydaje się, że zagrożenie jest w stanie obejść niektóre podstawowe zabezpieczenia w systemie Windows. Osiąga to za pomocą fałszywego certyfikatu do podpisywania kodu, który programiści zdołali zdobyć. W żadnym wypadku nie jest to nowatorska technika — przechwytywanie certyfikatów do podpisywania kodu jest popularne od lat wśród twórców złośliwego oprogramowania.
Badacze cyberbezpieczeństwa uważają, że twórcy złośliwego oprogramowania BLISTER mogli zdobyć certyfikat naruszając bezpieczeństwo legalnej firmy, a następnie wykorzystać ich dane uwierzytelniające do skontaktowania się z Sectigo, dostawcą tożsamości cyfrowej. Wydaje się, że certyfikat zastosowań BLISTER Malware został wydany na 23 sierpnia, a to należy do BLIST LLC, spółki z wykorzystaniem Rosja opartej dostawcy e-mail. Nie musi to jednak koniecznie potwierdzać narodowości twórców BLISTER Malware.
Po uruchomieniu BLISTER Malware zacznie dekodować mocno zaciemniony kod, którego używa do zainicjowania ataku. Jednak po zakończeniu zadania dekodowania złośliwe oprogramowanie opóźni następny krok o 10 minut – jest to prosty sposób na uniknięcie analizy w piaskownicy.
Po uruchomieniu BLISTER Malware zyskuje na trwałości, upuszczając swoje pliki do folderu %ProgramData%, a także tworząc nowy wpis w katalogu startowym. Wygląda na to, że złośliwe oprogramowanie BLISTER jest używane w połączeniu z trojanami zdalnego dostępu (RAT) i narzędziami, takimi jak Beacon Cobalt Strike i BitRAT. Ostateczny cel przestępców nie jest jeszcze jasny, ale wydaje się, że próbują przejąć kontrolę nad całymi sieciami, rozprzestrzeniając się na boki. Systemy i sieci mogą być zabezpieczone przed złośliwym oprogramowaniem BLISTER dzięki zastosowaniu solidnych środków bezpieczeństwa, a także dzięki upewnieniu się, że wszyscy operatorzy systemów znają najlepsze praktyki bezpiecznego przeglądania sieci.