Вредоносное ПО BLISTER приносит RAT в взломанные сети

BLISTER Malware - это новая полезная нагрузка, которая используется для доставки других вредоносных программ на зараженные устройства. Похоже, что угроза способна обойти некоторые основные меры безопасности в Windows. Это достигается с помощью поддельного сертификата подписи кода, который удалось получить разработчикам. Это ни в коем случае не новинка - взлом сертификатов для подписи кода был популярен среди разработчиков вредоносных программ в течение многих лет.

Исследователи кибербезопасности полагают, что создатели вредоносного ПО BLISTER могли получить сертификат, поставив под угрозу безопасность законной компании, а затем использовали свои учетные данные для связи с Sectigo, поставщиком цифровой идентификации. Оказывается , что сертификат , который использований BLISTER вредоносных программ было выдано на ²³ августа, и он принадлежит Blist LLC, компании с помощью поставщика услуг электронной почты России на основе. Однако это не обязательно подтверждает национальность создателей BLISTER Malware.

Когда BLISTER Malware запускается, он начинает декодировать сильно запутанный код, который использует для инициализации атаки. Однако после завершения задачи декодирования вредоносная программа задерживает следующий шаг на 10 минут - простая мера, позволяющая избежать анализа песочницы.

После запуска вредоносное ПО BLISTER становится устойчивым, помещая свои файлы в папку% ProgramData%, а также создавая новую запись в каталоге запуска. Вредоносное ПО BLISTER, по-видимому, используется в сочетании с троянами удаленного доступа (RAT) и такими утилитами, как маяк Cobalt Strike и BitRAT. Конечная цель преступников еще не ясна, но они, похоже, пытаются взять под контроль целые сети, распространяясь в стороны. Системы и сети могут быть защищены от вредоносного ПО BLISTER, применяя надежные меры безопасности, а также гарантируя, что все системные операторы знакомы с лучшими практиками безопасного просмотра веб-страниц.