FlagPro Malware

Flagpro er en ny malware-stamme antagelig distribuert av en gruppe nettkriminelle i de første stadiene av multi-level nettverksangrep. I utgangspunktet rettet mot Japan-baserte virksomheter, trenger Flagpro inn i nettverk for å hente inn og utføre ytterligere skadelig programvare.

Infeksjonsvektoren som brukes av BlackTech , cybergjengen som er ansvarlig for angrepene, er den gode gamle phishing-svindel. Tilslørt under dekke av ekte forretningskorrespondanse, kommer Flagpro som en malware-ladet makrofil i en vedlagt, passordbeskyttet Microsoft Excel-fil. Når det åpnes, kjører dokumentet Flagpro som en oppstartsprosess. Sistnevnte sender systemdata til et eksternt Command-and-Control (C&C) senter og avventer ytterligere instruksjoner.

Flagpro har etter sigende vært i omløp i mer enn ett år nå, og har eksistert i to versjoner, med mindre kodeforskjeller i mellom. I motsetning til v1.0, lukker v2.0 automatisk alle dialogbokser som viser kommunikasjonen med den eksterne C&C-serveren. Siden slik kontakt hovedsakelig skjer på engelsk og kinesisk, antar vi at BlackTech APT cybergang kan ha kinesisk opprinnelse. Dessuten ser BlackTech ut til å ha sterke bånd til det beryktede WaterBear-spionasjeteamet, som også antas å stamme fra Kina.

Gitt at det er to Flagpro-versjoner, kan vi ikke utelukke muligheten for at flere varianter kommer i umiddelbar fremtid. Det er best å holde anti-malware-verktøyene oppe og kjøre for å forhindre at potensiell Flagpro-infeksjon når PC-en din.