BLISTER Malware ger RAT:er till komprometterade nätverk

BLISTER Malware är en ny nyttolast, som används för att leverera annan skadlig programvara till de enheter som den infekterar. Hotet verkar kunna kringgå vissa grundläggande säkerhetsåtgärder i Windows. Den uppnår detta genom att använda ett falskt kodsigneringscertifikat som utvecklarna har lyckats skaffa. Detta är inte en ny teknik på något sätt – kapning av kodsigneringscertifikat har varit populärt bland utvecklare av skadlig programvara i flera år.

Cybersäkerhetsforskare tror att skaparna av BLISTER Malware kan ha förvärvat certifikatet genom att äventyra säkerheten för ett legitimt företag och sedan använt sina referenser för att kontakta Sectigo, en leverantör av digital identitet. Det verkar som om certifikat som blåsan Malware användningsområden har utfärdats den ^{23: e} augusti, och det hör till Blist LLC, ett företag som använder en Ryssland-baserade e-postleverantör. Detta bekräftar dock inte nödvändigtvis nationaliteten för BLISTER Malwares skapare.

När BLISTER Malware lanseras kommer den att börja avkoda den kraftigt obfuskerade koden som den använder för att initiera attacken. Men efter att avkodningsuppgiften är klar kommer skadlig programvara att fördröja nästa steg med 10 minuter – en enkel åtgärd för att undvika sandlådeanalys.

När BLISTER Malware har körts blir den beständig genom att släppa sina filer till mappen %ProgramData%, samt genom att skapa en ny post i startkatalogen. BLISTER Malware verkar användas i kombination med Remote Access Trojans (RAT) och verktyg som Cobalt Strike beacon och BitRAT. Slutmålet för brottslingarna är ännu inte klart, men de verkar försöka ta kontroll över hela nätverk genom att sprida sig i sidled. System och nätverk kan skyddas från BLISTER Malware genom att använda robusta säkerhetsåtgärder, såväl som genom att se till att alla systemoperatörer är bekanta med de bästa metoderna för säkra webbsurfning.