بدافزار FlagPro

Flagpro یک نوع بدافزار جدید است که احتمالاً توسط گروهی از مجرمان سایبری در اولین مراحل حملات شناسایی شبکه چند سطحی به کار گرفته شده است. در ابتدا با هدف قرار دادن مشاغل مستقر در ژاپن، Flagpro به شبکه‌ها نفوذ می‌کند تا بدافزار اضافی را وارد و اجرا کند.

ناقل عفونت استفاده شده توسط BlackTech ، سایبرگنگ مسئول حملات، کلاهبرداری قدیمی خوب فیشینگ است. Flagpro که تحت پوشش مکاتبات تجاری واقعی به نظر می رسد، به عنوان یک فایل ماکرو مملو از بدافزار در یک فایل پیوست شده مایکروسافت اکسل محافظت شده با رمز عبور وارد می شود. پس از باز شدن، سند Flagpro را به عنوان یک فرآیند راه اندازی اجرا می کند. دومی داده های سیستم را به یک مرکز فرماندهی و کنترل خارجی (C&C) می فرستد و منتظر دستورالعمل های بیشتر است.

طبق گزارش ها، بیش از یک سال است که در حال گردش است، Flagpro در دو نسخه با تفاوت های جزئی در کد موجود است. برخلاف نسخه 1.0، نسخه 2.0 هر کادر محاوره ای را که ارتباط آن با سرور C&C خارجی را آشکار می کند، به طور خودکار می بندد. از آنجایی که چنین تماسی عمدتاً به زبان انگلیسی و چینی انجام می شود، ما فرض می کنیم که سایبرنگ BlackTech APT ممکن است منشاء چینی داشته باشد. علاوه بر این، به نظر می‌رسد بلک‌تک با تیم جاسوسی بدنام WaterBear، که همچنین از چین سرچشمه می‌گیرد، پیوندهای محکمی دارد.

با توجه به اینکه دو نسخه Flagpro وجود دارد، نمی‌توانیم احتمال عرضه نسخه‌های بیشتر در آینده نزدیک را رد کنیم. بهتر است ابزارهای ضد بدافزار خود را فعال نگه دارید تا از رسیدن هرگونه عفونت احتمالی Flagpro به رایانه شخصی خود جلوگیری کنید.