重新設計的 JSSLoader 提供 Carbanak 木馬
重構代碼是軟件開發人員使用的一種流行技術,通俗地說,就是在不改變其行為的情況下修改其程序的內部結構。惡意軟件開發人員還使用此類技術以各種方式增強他們的項目。最近發生這種變化的項目之一是 JSSLoader 木馬。然而,JSSLoader 背後的犯罪分子並沒有簡單地優化代碼,而是選擇使用另一種編程語言重寫它。雖然最初的 JSSLoader 木馬是用 .NET 編寫的,但 2021 年 6 月發布的變種基於 C++。
為什麼要重寫 JSSLoader?
將惡意軟件切換到完全不同的編程語言的優勢之一是它可能會使當前的安全標記和檢測變得無用。這可能是 JSSLoader 開發人員的主要目標——通過推出新變體來逃避防火牆和防病毒軟件。當然,您可以放心,信譽良好的防病毒工具已收到必要的更新,以確保新的 JSSLoader 不會有機會造成損壞。
網絡安全專家表示,JSSLoader 的新變種在功能方面沒有任何改進。然而,惡意軟件是通過新的垃圾郵件活動和其他技巧傳播的。此行動背後的組織以別名 TA543 進行跟踪,他們目前的活動針對在各個領域運營的數百個組織——醫療保健、零售、技術、金融等。
2021 JSSLoader 的目的
就像其他木馬裝載程序一樣,這個程序本身也沒有太多作用。它需要與一個額外的惡意軟件系列配對——JSSLoader 的目標是確保無縫加載額外的有效負載,而不會引發任何危險信號。 JSSLoader 木馬的 C++ 變種使用的惡意軟件家族可能有所不同,但它們似乎與FIN7 黑客組織的武器庫非常相似。例如,有人看到一些 JSSLoader 的活動副本提供 Carbanak 銀行木馬的變體。
惡意軟件開發人員一直在努力領先於防病毒產品供應商,而 JSSLoader 的完整結構變化就是這樣的一種嘗試。遵循最佳安全 Web 瀏覽實踐並對防病毒軟件應用定期更新應該足以緩解上述攻擊。