Visa a emis o avertizare cu privire la o creștere a detectărilor pentru o nouă versiune a malware-ului JsOutProx care vizează instituțiile financiare și clienții acestora.
Într-o alertă de securitate emisă de unitatea de Disrupție a Fraudelor de Plăți (PDF) a Visa, aceștia au avertizat că au devenit conștienți de o nouă campanie de phishing care distribuie troianul de acces remote la data de 27 martie 2024.
Această campanie viza instituțiile financiare din Asia de Sud și de Sud-Est, Orientul Mijlociu și Africa.
Descoperită pentru prima dată în decembrie 2019, JsOutProx este un troian de acces remote (RAT) și un backdoor JavaScript foarte obfuscat care permite operatorilor să ruleze comenzi shell, să descarce încărcături suplimentare, să execute fișiere, să captureze capturi de ecran, să stabilească persistența pe dispozitivul infectat și să controleze tastatura și mouse-ul.
Alerta oferă indicatori de compromis (IoC) legați de cea mai recentă campanie și recomandă mai multe acțiuni de atenuare, inclusiv conștientizarea riscurilor de phishing, activarea tehnologiilor EMV și de acceptare securizată, securizarea accesului remote și monitorizarea tranzacțiilor suspecte.
Un raport conex de la Resecurity intră mai adânc în detaliile operației de phishing JSOutProx, explicând că malware-ul și-a evoluat cea mai recentă versiune pentru o evitare mai bună și acum folosește GitLab pentru a găzdui încărcăturile sale.
În atacurile observate împotriva clienților bancari, Resecurity a văzut notificări financiare fabricate trimise țintelor prin e-mailuri care impersonau instituții legitime, prezentându-le notificări false de plată SWIFT sau MoneyGram.
În e-mailuri sunt atașate arhive ZIP care conțin fișiere .js care, atunci când sunt executate, descarcă încărcăturile JSOutProx rău intenționate dintr-un depozit GitLab.
Prima etapă a implantului JSOutProx suportă o serie de comenzi care permit atacatorilor să efectueze funcționalități de bază precum actualizarea sa, gestionarea timpului său de somn pentru discreție operațională, executarea proceselor și ieșirea implantului când este necesar.
A doua etapă a implantului introduce pluginuri suplimentare care extind semnificativ gama de activități răuvoitoare pe care atacatorii le pot efectua și includ următoarele:
Resecurity spune că operațiunile timpurii ale JSOutProx au fost atribuite unui actor de amenințare numit ‘Solar Spider’, dar nu există o atribuire concretă pentru cea mai recentă campanie.
Pe baza sofisticării atacurilor, profilului țintelor și geografiei acestora, analiștii estimează cu o încredere moderată că JSOutProx este operat de actori de amenințare chinezi sau afiliați Chinei.
Mai multe articole similare:
DinodasRAT malware vizează servere Linux într-o campanie de spionaj
Noul malware Bifrost pentru Linux imită domeniul VMware pentru evaziune
Serviciul de cybercrime LabHost permite oricui să pescuiască utilizatorii de bănci canadiene
Hackerii abuzează de Google Cloud Run într-o campanie masivă de troieni bancari
Noua variantă de malware Qbot folosește o fereastră pop-up falsă de instalare Adobe pentru evaziune
Leave a Reply