重新设计的 JSSLoader 提供 Carbanak 木马
重构代码是软件开发人员使用的一种流行技术,通俗地说,就是在不改变其行为的情况下修改其程序的内部结构。恶意软件开发人员还使用此类技术以各种方式增强他们的项目。最近经历了这种变化的项目之一是 JSSLoader 木马。然而,JSSLoader 背后的罪犯并没有简单地优化代码,而是选择使用另一种编程语言重写它。虽然最初的 JSSLoader 木马是用 .NET 编写的,但 2021 年 6 月发布的变种基于 C++。
为什么要重写 JSSLoader?
将恶意软件切换到完全不同的编程语言的优势之一是它可能会使当前的安全标记和检测变得无用。这可能是 JSSLoader 开发人员的主要目标——通过推出新变体来逃避防火墙和防病毒软件。当然,您可以放心,信誉良好的防病毒工具已收到必要的更新,以确保新的 JSSLoader 不会有机会造成损坏。
网络安全专家表示,JSSLoader 的新变种在功能方面没有任何改进。然而,恶意软件是通过新的垃圾邮件活动和其他技巧传播的。此行动背后的组织以别名 TA543 进行跟踪,他们目前的活动针对在各个领域运营的数百个组织——医疗保健、零售、技术、金融等。
2021 JSSLoader 的目的
就像其他木马装载程序一样,这个程序本身也没有太多作用。它需要与一个额外的恶意软件系列配对——JSSLoader 的目标是确保无缝加载额外的有效负载,而不会引发任何危险信号。 JSSLoader 木马的 C++ 变种使用的恶意软件家族可能有所不同,但它们似乎与FIN7 黑客组织的武器库非常相似。例如,有人看到一些 JSSLoader 的活动副本提供 Carbanak 银行木马的变体。
恶意软件开发人员一直在努力领先于防病毒产品供应商,而 JSSLoader 的完整结构变化就是这样的一种尝试。遵循最佳安全 Web 浏览实践并对防病毒软件应用定期更新应该足以减轻上述攻击。