Η Trustwave SpiderLabs αναφέρει ότι πρόσφατα αποκάλυψε μια νέα μορφή κακόβουλου λογισμικού με την ονομασία Pronsis Loader, η οποία προκαλεί ήδη προβλήματα λόγω του μοναδικού σχεδιασμού και της τακτικής της, σύμφωνα με το techradar.
Το Pronsis Loader κάνει χρήση της JPHP, μιας λιγότερο γνωστής γλώσσας προγραμματισμού που σπάνια χρησιμοποιείται από τους εγκληματίες του κυβερνοχώρου, και επίσης χρησιμοποιεί προηγμένες τεχνικές εγκατάστασης, καθιστώντας τον εντοπισμό και τον έλεγχο του πιο δύσκολο για τα συστήματα κυβερνοασφάλειας.
Η JPHP, μια παραλλαγή της δημοφιλούς γλώσσας PHP, συναντάται σπάνια στον κόσμο της ανάπτυξης κακόβουλου λογισμικού. Ενώ η PHP χρησιμοποιείται συνήθως για διαδικτυακές εφαρμογές, η ενσωμάτωσή της στην ανάπτυξη κακόβουλου λογισμικού για υπολογιστές γραφείου είναι ασυνήθιστη, δίνοντας στο Pronsis Loader ένα πλεονέκτημα στην αποφυγή εντοπισμού.
JPHP - μια σπάνια επιλογή στο κυβερνοέγκλημα
Το Pronsis Loader μπορεί να αποφύγει τα συστήματα ανίχνευσης που βασίζονται σε δεξαμενές δεδομένων που ταυτοποιούν τα μοναδικά χαρακτηριστικά των κακόβουλων λογισμικών, τα οποία είναι συνήθως σχεδιασμένα για να αναγνωρίζουν πιο κοινές γλώσσες προγραμματισμού. Η JPHP δίνει στο κακόβουλο λογισμικό ένα επίπεδο «μυστικότητας» που επιτρέπει στο κακόβουλο λογισμικό να περνάει απαρατήρητο από το ραντάρ πολλών εργαλείων ασφαλείας.
Το κακόβουλο λογισμικό χρησιμοποιεί επίσης μεθόδους κρυπτογράφησης για να αποκρύψει την παρουσία του κατά την αρχική φάση μόλυνσης. Κατά την εκτέλεσή του, αναπτύσσει πολύπλοκες μεθόδους για να αποφύγει την ενεργοποίηση των παραδοσιακών λογισμικών προστασίας από ιούς και των συστημάτων προστασίας τελικών σημείων.
Μόλις εγκατασταθεί, το Pronsis Loader μπορεί να κατεβάσει και να εκτελέσει πρόσθετο κακόβουλο λογισμικό, όπως ransomware, spyware ή εργαλεία διαρροής δεδομένων. Αυτή η αρθρωτή του προσέγγιση καθιστά το κακόβουλο λογισμικό εξαιρετικά ευέλικτο, επιτρέποντας στους επιτιθέμενους να προσαρμόζουν το τελικό ωφέλιμο φορτίο ανάλογα με το σύστημα ή το περιβάλλον του στόχου.
Για να καταπολεμήσουν αυτές τις εξελισσόμενες απειλές, οι ομάδες ασφαλείας θα πρέπει να υιοθετήσουν πιο προηγμένες μεθόδους παρακολούθησης και ανάλυσης, όπως η ανίχνευση βάσει συμπεριφοράς, η οποία μπορεί να εντοπίσει το κακόβουλο λογισμικό από τις ενέργειές του και όχι μόνο από τις υπογραφές του κώδικα. Επιπλέον, οι συνεχείς ενημερώσεις των πληροφοριών απειλών μπορούν να βοηθήσουν στον εντοπισμό της χρήσης σπάνιων γλωσσών και μεθόδων, όπως αυτές που χρησιμοποιούνται από το Pronsis Loader.
«Το Pronsis Loader σηματοδοτεί μια αξιοσημείωτη αλλαγή στον τρόπο με τον οποίο οι εγκληματίες του κυβερνοχώρου αναπτύσσουν κακόβουλο λογισμικό, χρησιμοποιώντας JPHP και σιωπηλές εγκαταστάσεις για να αποφύγουν τις παραδοσιακές μεθόδους ανίχνευσης. Η ικανότητά του να παραδίδει ωφέλιμα φορτία υψηλού κινδύνου, όπως το Lumma Stealer και το Latrodectus, το καθιστά ιδιαίτερα επικίνδυνο», δήλωσε ο Shawn Kanady, Global Director of Trustwave SpiderLabs.
«Η έρευνά μας αποκαλύπτει όχι μόνο τις μοναδικές δυνατότητες του κακόβουλου λογισμικού, αλλά και την υποδομή που θα μπορούσε να αξιοποιηθεί σε μελλοντικές εκστρατείες, ώστε να δώσει στις ομάδες ασφαλείας την ευκαιρία να ενισχύσουν τις άμυνές τους», πρόσθεσε ο Kanady.
