Вредоносное ПО Flagpro обнаружено в сетях японских компаний

В последние дни 2021 года исследователи безопасности выявили новое семейство вредоносных программ, которые используются в атаках на японские компании. Подобным виновником этих атак является группа Advanced Persistent Threat (APT), отслеживаемая под псевдонимом BlackTech. Они специализируются на шпионаже, и их последний имплант носит название Flagpro.

Вредоносное ПО Flagpro доставляется жертвам через фишинговые электронные письма, которые, похоже, настраиваются для каждой жертвы. Преступники делают вид, что отправляют сообщения от надежных партнеров, тем самым повышая шансы того, что жертвы в конечном итоге будут взаимодействовать с сообщением. Поддельное электронное письмо содержит защищенный паролем архив, который должен содержать важный контент. Однако жертвы, которые его откроют, увидят документ XLSM, который предоставляет вредоносное ПО Flagpro с помощью умного использования макросов.

Если макрос выполнен успешно, полезная нагрузка Flagpro Malware будет удалена в каталог запуска Windows, таким образом получая постоянство. Затем угроза подключается к удаленному серверу по протоколу HTTP и отправляет некоторую базовую информацию о машине жертвы. Затем злоумышленники могут использовать Flagpro Malware для удаленного выполнения команд или для доставки дополнительных полезных данных.

Первые варианты вредоносного ПО Flagpro относятся к июню 2020 года, и, похоже, с тех пор преступники выпустили несколько обновлений. Один из последних вариантов может автоматически закрывать диалоговые окна Windows, которые могут вызвать активность имплантата, и обнаруживать его присутствие. Предположительно, он способен обнаруживать определенные имена диалогов в Японии, Тайване, китайском и английском языках - это, вероятно, означает, что вредоносное ПО Flagpro собирается атаковать и другие страны. Лучший способ защитить сети и системы от атак BlackTech - это инвестировать в усиленные меры безопасности, а также убедиться, что все сотрудники знакомы с основными механизмами распространения вредоносных программ, которые используют киберпреступники. Предыдущее семейство имплантатов BlackTech - это вредоносное ПО Gh0stTimes .