Finansijske organizacije u azijsko-pacifičkom (APAC), bliskoistočnom i sjevernofričkom regionu (MENA) na meti su nove verzije “prijetnje koja se razvija” pod nazivom JSOutProx .
„JSOutProx je sofisticirani okvir za napad koji koristi i JavaScript i .NET“, navodi Resecurity u tehničkom izvještaju objavljenom ove sedmice.
“Upotrebljava funkciju .NET (de)serializacije za interakciju sa osnovnim JavaScript modulom koji radi na žrtvinoj mašini. Jednom izvršen, malver omogućava okviru da učita različite dodatke, koji vrše dodatne zlonamjerne aktivnosti na cilju.”
Yoroi je prvi put identifikovao ovaj malver u decembru 2019, rani napadi koji distribuišu JSOutProx pripisani su hakeru praćenom kao Solar Spider.
Krajem 2021, Quick Heal Security Labs je detaljno analizovao napade koristeći trojanac za daljinski pristup (RAT) kako bi izdvojio zaposlenike malih finansijskih banaka iz Indije. Drugi talasi kampanja bili su usmjereni na institucije indijske vlade još u aprilu 2020.
Poznato je da lanci napada koriste spear-phishing e-poruke sa zlonamjernim JavaScript prilozima koji se maskiraju u PDF-ove i ZIP arhive koje sadrže lažne HTA datoteke za implementaciju jako zamagljenog implantata.
“Ovaj malver ima različite dodatke za obavljanje različitih operacija kao što su eksfiltracija podataka, izvođenje operacija sistema datoteka”, primijetio je Quick Heal [PDF] u to vrijeme. “Osim toga, ima i razne metode sa ofanzivnim sposobnostima koje izvode različite operacije.”
Plugini mu omogućavaju da prikupi širok spektar informacija sa kompromitovanog hosta, kontroliše podešavanja proksija, uhvati sadržaj clipboard-a, pristupi detaljima naloga Microsoft Outlook i prikupi jednokratne lozinke od Symantec VIP-a. Jedinstvena karakteristika malvera je njegova upotreba polja memoranduma kolačića za komunikaciju naredbe i kontrole (C2).
JSOutProx takođe predstavlja činjenicu da je to potpuno funkcionalan RAT implementiran u JavaScript-u.
“JavaScript jednostavno ne nudi toliko fleksibilnosti kao PE fajl”, navodi Fortinet FortiGuard Labs u izvještaju objavljenom u decembru 2020, opisujući kampanju usmjerenu protiv vladinog monetarnog i finansijskog sektora u Aziji.
“Međutim, pošto JavaScript koriste mnoge web stranice, većini korisnika izgleda kao benigno, jer se pojedinci s osnovnim sigurnosnim znanjem uče da izbjegavaju otvaranje priloga koji završavaju na .exe. Također, pošto JavaScript kod može biti zamaskiran, lako zaobilazi antivirusni program, omogućavajući mu da se neotkriveno infiltrira.”
Najnoviji skup napada koje je dokumentovao Resecurity podrazumijeva korištenje lažnih SWIFT ili MoneyGram obavještenja o plaćanju kako bi primaoce e-pošte prevario da izvrše zlonamjerni kod. Rečeno je da je aktivnost doživjela nagli porast počevši od 8. februara 2024. godine.
Artefakti su uočeni na GitHub i GitLab repozitorijumima, koji su od tada blokirani i uklonjeni.
“Kada je zlonamjerni kod uspješno isporučen, haker uklanja skladište i kreira novo”, rekla je kompanija za sajber sigurnost. “Ova taktika je vjerovatno povezana s tim što je haker koristi za upravljanje višestrukim zlonamjernim sadržajem i razlikovanje ciljeva.”
Tačno porijeklo grupe e-kriminala koja stoji iza malvera trenutno je nepoznato, iako viktimološka distribucija napada i sofisticiranost implantata aludira na to da oni potiču iz Kine ili su povezani s njom, tvrdi Resecurity.
Razvoj dolazi kada sajber kriminalci promovišu na dark webu novi softver pod nazivom GEOBOX koji prenamjenjuje Raspberry Pi uređaje za provođenje prijevara i anonimizacije.
Ponuđen za samo 80 USD mjesečno (ili 700 USD za doživotnu licencu), alat omogućava operaterima da lažiraju GPS lokacije, emuliraju specifične postavke mreže i softvera, imitiraju postavke poznatih Wi-Fi pristupnih tačaka, kao i zaobilaze filtere protiv prijevara.
Takvi alati mogu imati ozbiljne sigurnosne implikacije jer otvaraju vrata širokom spektru zločina kao što su napadi koje sponzoriše država, korporativna špijunaža, operacije na tržištu dark weba, financijske prijevare, anonimna distribucija malvera, pa čak i pristup geoograđenom sadržaju.
“Lakoća pristupa GEOBOX-u izaziva značajnu zabrinutost unutar zajednice kibernetičke sigurnosti u vezi s njegovim potencijalom za široko usvajanje među različitim hakerima”, rekao je Resecurity .
Izvor: The Hacker News
