FlagPro rosszindulatú program

A Flagpro egy új rosszindulatú program, amelyet feltehetően kiberbűnözők egy csoportja telepített a többszintű hálózati felderítő támadások első szakaszában. A Flagpro kezdetben a japán székhelyű vállalkozásokat célozta meg, és behatol a hálózatokba, hogy további rosszindulatú programokat hozzon létre és hajtson végre.

A BlackTech , a támadásokért felelős cybergang által használt fertőzési vektor a jó öreg adathalász csalás. A valódi megjelenésű üzleti levelezés leple alatt a Flagpro rosszindulatú programokkal teli makrófájlként érkezik egy csatolt, jelszóval védett Microsoft Excel fájlba. Megnyitáskor a dokumentum elindítja a Flagpro-t indítási folyamatként. Ez utóbbi rendszeradatokat küld egy külső Command-and-Control (C&C) központnak, és várja a további utasításokat.

A hírek szerint már több mint egy éve forgalomban van, a Flagpro két verzióban létezik, kisebb kódkülönbségekkel a kettő között. A v1.0-tól eltérően a 2.0 automatikusan bezár minden olyan párbeszédpanelt, amely felfedi a kommunikációt a külső C&C szerverrel. Mivel az ilyen érintkezés túlnyomórészt angolul és kínaiul fordul elő, feltételezzük, hogy a BlackTech APT cybergang kínai eredetű lehet. Sőt, úgy tűnik, hogy a BlackTech szoros kapcsolatban áll a hírhedt WaterBear kémcsapattal, amelyről úgy gondolják, hogy szintén Kínából származott.

Tekintettel arra, hogy két Flagpro verzió létezik, nem zárhatjuk ki annak lehetőségét, hogy a közeljövőben további változatok is megjelenjenek. Jobb, ha a rosszindulatú programokat gátló eszközeit folyamatosan üzemben tartja, hogy megakadályozza a Flagpro fertőzések esetleges eljutását a számítógépére.