FlagPro Malware

Flagpro is een nieuwe malwaresoort die vermoedelijk is ingezet door een groep cybercriminelen in de eerste stadia van netwerkverkenningsaanvallen op meerdere niveaus. In eerste instantie gericht op in Japan gevestigde bedrijven, dringt Flagpro netwerken binnen om aanvullende malware binnen te halen en uit te voeren.

De infectievector die wordt gebruikt door BlackTech , de cyberbende die verantwoordelijk is voor de aanvallen, is de goede oude phishing-zwendel. Versluierd onder het mom van echt ogende zakelijke correspondentie, arriveert Flagpro als een met malware beladen macrobestand in een bijgevoegd, met een wachtwoord beveiligd Microsoft Excel-bestand. Wanneer geopend, voert het document Flagpro uit als een opstartproces. Deze laatste stuurt systeemgegevens naar een extern Command-and-Control (C&C) centrum en wacht op verdere instructies.

Naar verluidt al meer dan een jaar in omloop, bestaat Flagpro in twee versies, met kleine codeverschillen daartussen. In tegenstelling tot v1.0 sluit v2.0 automatisch alle dialoogvensters die de communicatie met de externe C&C-server onthullen. Aangezien dergelijk contact voornamelijk in het Engels en Chinees plaatsvindt, gaan we ervan uit dat de BlackTech APT-cyberbende mogelijk van Chinese oorsprong is. Bovendien lijkt BlackTech sterke banden te hebben met het beruchte WaterBear-spionageteam, dat ook uit China zou komen.

Aangezien er twee Flagpro-versies zijn, kunnen we niet uitsluiten dat er in de nabije toekomst meer varianten komen. U kunt uw anti-malwaretools beter in de lucht houden om te voorkomen dat eventuele Flagpro-infecties uw pc bereiken.