Переработанный JSSLoader доставляет троян Carbanak.

Рефакторинг кода - это популярный метод, который разработчики программного обеспечения используют, говоря простым языком, для изменения внутренней структуры своей программы, не меняя ее поведения вообще. Разработчики вредоносных программ также используют такие методы для улучшения своих проектов различными способами. Одним из проектов, недавно подвергшихся такому изменению, является троян JSSLoader. Однако вместо того, чтобы просто немного оптимизировать код, преступники, стоящие за JSSLoader, решили переписать его, используя другой язык программирования. Хотя исходный троян JSSLoader был написан на .NET, вариант, выпущенный в июне 2021 года, основан на C ++.

Почему был переписан JSSLoader?

Одним из преимуществ переключения вредоносного ПО на совершенно другой язык программирования является то, что он может сделать текущие маркеры безопасности и обнаружение бесполезными. Вероятно, это и было основной целью разработчиков JSSLoader - обойти брандмауэр и антивирусное программное обеспечение с запуском нового варианта. Конечно, вы можете быть уверены, что авторитетные антивирусные инструменты получили необходимые обновления, чтобы гарантировать, что новый JSSLoader не сможет нанести ущерб.

Эксперты по кибербезопасности заявляют, что новый вариант JSSLoader не содержит никаких улучшений с точки зрения функциональности. Однако вредоносное ПО распространяется с помощью новых кампаний по рассылке спама по электронной почте и дополнительных уловок. Группа, стоящая за этой операцией, отслеживается под псевдонимом TA543, и их текущая кампания направлена на сотни организаций, работающих в различных секторах - здравоохранении, розничной торговле, технологиях, финансах и других.

Назначение JSSLoader 2021 года

Как и другие троянские загрузчики, этот сам по себе мало что делает. Он должен работать в паре с дополнительным семейством вредоносных программ - цель JSSLoader - обеспечить беспрепятственную загрузку дополнительных полезных данных без каких-либо красных флажков. Семейства вредоносных программ, которые использует C ++-вариант троянца JSSLoader, могут различаться, но, похоже, они очень похожи на арсенал хакерской группы FIN7 . Например, некоторые из активных копий JSSLoader были замечены как доставляющие вариант банковского трояна Carbanak.

Разработчики вредоносных программ постоянно пытаются опережать производителей антивирусных продуктов, и полное структурное изменение JSSLoader - одна из таких попыток. Следование лучшим методам безопасного просмотра веб-страниц и регулярное обновление антивирусного программного обеспечения должно быть достаточным для предотвращения атак, подобных описанной выше.