FlagPro pahavara

Flagpro on uus pahavara tüvi, mille arvatavasti kasutas rühm küberkurjategijaid mitmetasandiliste võrguluurerünnakute esimestel etappidel. Algselt Jaapanis asuvatele ettevõtetele suunatud Flagpro tungib võrkudesse, et tuua sisse ja käivitada täiendavat pahavara.

Rünnakute eest vastutava kübergangi BlackTechi kasutatav nakkusvektor on vana hea andmepüügipettus. Ehtsa välimusega ärikirjavahetuse varjus looritatud Flagpro saabub pahavaraga koormatud makrofailina manustatud parooliga kaitstud Microsoft Exceli failis. Avamisel käivitab dokument Flagpro käivitusprotsessina. Viimane saadab süsteemiandmed välisesse Command-and-Control (C&C) keskusesse ja ootab edasisi juhiseid.

Väidetavalt on Flagpro juba üle aasta käibel olnud kahes versioonis, mille vahel on väikesed koodierinevused. Erinevalt versioonist 1.0 sulgeb v2.0 automaatselt kõik dialoogiboksid, mis näitavad selle sidet välise C&C serveriga. Kuna selline kontakt esineb valdavalt inglise ja hiina keeles, eeldame, et BlackTech APT kübergangi päritolu võib olla Hiina. Veelgi enam, BlackTechil on tugevad sidemed kurikuulsa spionaažimeeskonnaga WaterBear, mis arvatavasti pärines samuti Hiinast.

Arvestades, et Flagpro versioone on kaks, ei saa me välistada, et lähitulevikus on tulemas rohkem variante. Parem hoidke oma pahavaratõrjetööriistad töös, et vältida võimaliku Flagpro nakkuse jõudmist teie arvutisse.