Złośliwe oprogramowanie FlagPro

Flagpro to nowy szczep złośliwego oprogramowania, prawdopodobnie wdrożony przez grupę cyberprzestępców w pierwszych etapach wielopoziomowych ataków rozpoznawczych sieci. Początkowo atakując firmy z siedzibą w Japonii, Flagpro penetruje sieci, aby wprowadzać i uruchamiać dodatkowe złośliwe oprogramowanie.

Wektor infekcji wykorzystywany przez BlackTech , cybergang odpowiedzialny za ataki, to stare dobre oszustwo phishingowe. Ukryty pod przykrywką autentycznie wyglądającej korespondencji biznesowej, Flagpro pojawia się jako wyładowany złośliwym oprogramowaniem plik makro w załączonym, chronionym hasłem pliku Microsoft Excel. Po otwarciu dokument wykonuje Flagpro jako proces uruchamiania. Ten ostatni wysyła dane systemowe do zewnętrznego centrum dowodzenia i kontroli (C&C) i czeka na dalsze instrukcje.

Podobno w obiegu od ponad roku, Flagpro istnieje w dwóch wersjach, z niewielkimi różnicami w kodzie pomiędzy nimi. W przeciwieństwie do wersji 1.0, wersja 2.0 automatycznie zamyka wszystkie okna dialogowe, które ujawniają komunikację z zewnętrznym serwerem C&C. Ponieważ taki kontakt występuje głównie w języku angielskim i chińskim, zakładamy, że cybergang BlackTech APT może mieć chińskie pochodzenie. Co więcej, wydaje się, że BlackTech ma silne powiązania z niesławnym zespołem szpiegowskim WaterBear, który, jak się uważa, również wywodzi się z Chin.

Biorąc pod uwagę, że istnieją dwie wersje Flagpro, nie możemy wykluczyć, że w najbliższej przyszłości pojawi się więcej wariantów. Lepiej zadbaj o to, aby Twoje narzędzia antywirusowe działały, aby zapobiec przedostawaniu się potencjalnej infekcji Flagpro do Twojego komputera.