بدافزار FlagPro
Flagpro یک نوع بدافزار جدید است که احتمالاً توسط گروهی از مجرمان سایبری در اولین مراحل حملات شناسایی شبکه چند سطحی به کار گرفته شده است. در ابتدا با هدف قرار دادن مشاغل مستقر در ژاپن، Flagpro به شبکهها نفوذ میکند تا بدافزار اضافی را وارد و اجرا کند.
ناقل عفونت استفاده شده توسط BlackTech ، سایبرگنگ مسئول حملات، کلاهبرداری قدیمی خوب فیشینگ است. Flagpro که تحت پوشش مکاتبات تجاری واقعی به نظر می رسد، به عنوان یک فایل ماکرو مملو از بدافزار در یک فایل پیوست شده مایکروسافت اکسل محافظت شده با رمز عبور وارد می شود. پس از باز شدن، سند Flagpro را به عنوان یک فرآیند راه اندازی اجرا می کند. دومی داده های سیستم را به یک مرکز فرماندهی و کنترل خارجی (C&C) می فرستد و منتظر دستورالعمل های بیشتر است.
طبق گزارش ها، بیش از یک سال است که در حال گردش است، Flagpro در دو نسخه با تفاوت های جزئی در کد موجود است. برخلاف نسخه 1.0، نسخه 2.0 هر کادر محاوره ای را که ارتباط آن با سرور C&C خارجی را آشکار می کند، به طور خودکار می بندد. از آنجایی که چنین تماسی عمدتاً به زبان انگلیسی و چینی انجام می شود، ما فرض می کنیم که سایبرنگ BlackTech APT ممکن است منشاء چینی داشته باشد. علاوه بر این، به نظر میرسد بلکتک با تیم جاسوسی بدنام WaterBear، که همچنین از چین سرچشمه میگیرد، پیوندهای محکمی دارد.
با توجه به اینکه دو نسخه Flagpro وجود دارد، نمیتوانیم احتمال عرضه نسخههای بیشتر در آینده نزدیک را رد کنیم. بهتر است ابزارهای ضد بدافزار خود را فعال نگه دارید تا از رسیدن هرگونه عفونت احتمالی Flagpro به رایانه شخصی خود جلوگیری کنید.