blisterwindowsskadevare
Sikkerhetsprogramvare har svært lav deteksjonsrate av Blister fordi programvaren som skjuler trojanere, kler seg ut som en gyldig applikasjon før den pakker ut skadevaren.

Annonse


Ny trojaner oppdages ikke i Windows

Blister er navnet på programvaren som fungerer som en trojansk hest for skadevare.

Skadevare utstyrer seg selv med gyldige sertifikater

Siden minst 15. september har skadevaren vært aktiv, ifølge Bleeping Computer. Hackerne drar nytte av at de med gyldighet kan signere programvaren slik at den ikke stoppes av sikkerhetsmekanismene i Windows, men det er bare en av triksene. Blister bruker nemlig verifiserings-signaturen til en bedrift og ved å bake det inn i legitime Windows-filer der “colorui.dll” er en av de som misbrukes.

Deretter får programvaren administrator-rettigheter med rundll32-kommandoen, noe som ikke er et problem fordi Windows tror dette er et respektert program.

Her er den, godkjent med et sertifikat. Bilde: Elastic

Blister venter 10 minutter før den pakker ut trojanerne for ikke å bli oppdaget

Deretter pakker programvaren ut den virkelige farlige koden i RAM, som trojanerne Cobalt Strike og BitRAT som gir mulighet for fjernstyring av offerets maskin.

Farligvaren kopierer seg selv også til “ProgramData”-mappen samtidig som en annen later som den er rundll32.exe. Selvsagt legger den seg til på oppstartslisten slik at den vedvarer etter omstart og skjult bak explorer.exe.

Blister er svært vanskelig å oppdage for sikkerhetsprogramvare.

Annonse