BLISTER теперь стал почти неубиваемым и более метким.
Согласно Для просмотра ссылки Войдиили Зарегистрируйся Elastic Security Labs, обновленная версия загрузчика вредоносного ПО BLISTER используется как часть цепочек заражения SocGholish для распространения инфраструктуры управления и контроля ( C2 ) с открытым исходным кодом под названием Для просмотра ссылки Войди или Зарегистрируйся . По данным Elastic Security Labs , обновление BLISTER включает в себя ключевую функцию, которая позволяет точно нацеливаться на сети жертв и делает вредонос менее заметным в средах виртуальных машин и песочниц.
В BLISTER внедрили новый алгоритм хэширования. Раньше использовались простые методы битового сдвига, теперь же добавлены операции XOR и умножения. По мнению специалистов Elastic, такие изменения помогут злоумышленникам обойти механизмы безопасности, которые опираются на сигнатуры YARA. Более того, загрузчик прячется в легитимном приложении — VLC Media Player для избегания обнаружения.
Ещё одна интересная функция — выборочная активация вредоносного кода только на определенных машинах, что возможно благодаря специальным пометкам в конфигурации кода. Доменное имя извлекается через Windows API. Более тщательный анализ вредоносного ПО показывает, что оно активно поддерживается, причем авторы BLISTER используют множество методов, позволяющих оставаться незамеченными и усложнять анализ.
BLISTER был Для просмотра ссылки Войдиили Зарегистрируйся , выступая в качестве канала для распространения полезное нагрузки Cobalt Strike и BitRAT на взломанных системах. И SocGholish, и BLISTER использовались одновременно в рамках нескольких кампаний, причем BLISTER использовался в качестве загрузчика второго этапа для распространения программ-вымогателей Cobalt Strike и LockBit.
BLISTER — это загрузчик, который продолжает оставаться вне поля зрения и активно используется для загрузки различных вредоносных программ, включая ClipBanker , инфостилеры, трояны и программы-вымогатели.
Согласно Для просмотра ссылки Войди
В BLISTER внедрили новый алгоритм хэширования. Раньше использовались простые методы битового сдвига, теперь же добавлены операции XOR и умножения. По мнению специалистов Elastic, такие изменения помогут злоумышленникам обойти механизмы безопасности, которые опираются на сигнатуры YARA. Более того, загрузчик прячется в легитимном приложении — VLC Media Player для избегания обнаружения.
Ещё одна интересная функция — выборочная активация вредоносного кода только на определенных машинах, что возможно благодаря специальным пометкам в конфигурации кода. Доменное имя извлекается через Windows API. Более тщательный анализ вредоносного ПО показывает, что оно активно поддерживается, причем авторы BLISTER используют множество методов, позволяющих оставаться незамеченными и усложнять анализ.
BLISTER был Для просмотра ссылки Войди
BLISTER — это загрузчик, который продолжает оставаться вне поля зрения и активно используется для загрузки различных вредоносных программ, включая ClipBanker , инфостилеры, трояны и программы-вымогатели.
- Источник новости
- www.securitylab.ru