Финансовые организации Азиатско-Тихоокеанского региона (APAC), Ближнего Востока и Северной Африки (MENA) подвергаются атаке новой версии "развивающейся угрозы" под названием JSOutProx.
"JSOutProx - это сложная платформа для атак, использующая как JavaScript, так и .NET", - говорится в техническом отчете Resecurity, опубликованном на этой неделе.
"Оно использует функцию де) сериализации .NET для взаимодействия с основным модулем JavaScript, запущенным на компьютере жертвы. После запуска вредоносное ПО позволяет платформе загружать различные плагины, которые выполняют дополнительные вредоносные действия с целью."
Впервые выявленные в декабре 2019 года Yoroi, ранние атаки с распространением JSOutProx были приписаны субъекту угрозы, отслеживаемому как Solar Spider. История операций бастующих банков и других крупных компаний в Азии и Европе.
В конце 2021 года Quick Heal Security Labs подробно описала атаки с использованием трояна удаленного доступа (RAT), нацеленные на сотрудников небольших финансовых банков из Индии. Другие волны кампаний были нацелены на правительственные учреждения Индии еще в апреле 2020 года.
Известно, что цепочки атак используют фишинговые электронные письма с вредоносными вложениями JavaScript, маскирующимися под PDF-файлы, и ZIP-архивы, содержащие поддельные HTA-файлы, для развертывания сильно запутанного имплантата.
"Это вредоносное ПО имеет различные плагины для выполнения различных операций, таких как эксфильтрация данных, выполнение операций с файловой системой", - отметил тогда Quick Heal [PDF]. "Помимо этого, у него также есть различные методы с атакующими возможностями, которые выполняют различные операции".
Плагины позволяют ему собирать широкий спектр информации со скомпрометированного хостинга, управлять настройками прокси-сервера, захватывать содержимое буфера обмена, получать доступ к реквизитам учетной записи Microsoft Outlook и собирать одноразовые пароли от Symantec VIP. Уникальной особенностью вредоносного ПО является использование поля заголовка cookie для командно-контрольных коммуникаций (C2).
JSOutProx также означает тот факт, что это полностью функциональный RAT, реализованный на JavaScript.
"JavaScript просто не обеспечивает такой гибкости, как PE-файл", - говорится в отчете Fortinet FortiGuard Labs, опубликованном в декабре 2020 года, в котором описывается кампания, направленная против государственного денежно-кредитного и финансового секторов в Азии.
"Однако, поскольку многие веб-сайты используют JavaScript, большинству пользователей он кажется безвредным, поскольку людей, обладающих базовыми знаниями в области безопасности, учат избегать открытия вложений, заканчивающихся на .exe. Кроме того, поскольку код JavaScript может быть запутан, он легко обходит антивирусное обнаружение, позволяя ему проходить фильтрацию незамеченным."
Последняя серия атак, задокументированных Resecurity, связана с использованием поддельных уведомлений о платежах SWIFT или MoneyGram, чтобы обманом заставить получателей электронной почты выполнить вредоносный код. Сообщается, что с 8 февраля 2024 года активность резко возросла.
Были обнаружены артефакты, размещенные в репозиториях GitHub и GitLab, которые с тех пор были заблокированы и удалены.
"После успешной доставки вредоносного кода злоумышленник удаляет репозиторий и создает новый", - заявили в компании по кибербезопасности. "Эта тактика, вероятно, связана с тем, что злоумышленник использует ее для управления несколькими вредоносными нагрузками и дифференцирования целей".
Точное происхождение электронной преступной группировки, стоящей за вредоносным ПО, в настоящее время неизвестно, хотя виктимологическое распределение атак и изощренность имплантата указывают на то, что они происходят из Китая или связаны с ним, утверждает Resecurity.
Разработка происходит по мере того, как киберпреступники продвигают в темной Сети новое программное обеспечение под названием GEOBOX, которое перепрофилирует устройства Raspberry Pi для проведения мошенничества и анонимизации.
Предлагаемый всего за 80 долларов в месяц (или 700 долларов за пожизненную лицензию), инструмент позволяет операторам подделывать местоположения по GPS, эмулировать определенные настройки сети и программного обеспечения, имитировать настройки известных точек доступа Wi-Fi, а также обходить фильтры защиты от мошенничества.
Такие инструменты могут иметь серьезные последствия для безопасности, поскольку они открывают путь для широкого спектра преступлений, таких как спонсируемые государством атаки, корпоративный шпионаж, операции на рынке темных сетей, финансовое мошенничество, анонимное распространение вредоносного ПО и даже доступ к контенту с геозонированием.
"Простота доступа к GEOBOX вызывает серьезные опасения в сообществе кибербезопасности по поводу его потенциального широкого распространения среди различных участников угрозы", - заявили в Resecurity.
"JSOutProx - это сложная платформа для атак, использующая как JavaScript, так и .NET", - говорится в техническом отчете Resecurity, опубликованном на этой неделе.
"Оно использует функцию де) сериализации .NET для взаимодействия с основным модулем JavaScript, запущенным на компьютере жертвы. После запуска вредоносное ПО позволяет платформе загружать различные плагины, которые выполняют дополнительные вредоносные действия с целью."
Впервые выявленные в декабре 2019 года Yoroi, ранние атаки с распространением JSOutProx были приписаны субъекту угрозы, отслеживаемому как Solar Spider. История операций бастующих банков и других крупных компаний в Азии и Европе.
В конце 2021 года Quick Heal Security Labs подробно описала атаки с использованием трояна удаленного доступа (RAT), нацеленные на сотрудников небольших финансовых банков из Индии. Другие волны кампаний были нацелены на правительственные учреждения Индии еще в апреле 2020 года.
Известно, что цепочки атак используют фишинговые электронные письма с вредоносными вложениями JavaScript, маскирующимися под PDF-файлы, и ZIP-архивы, содержащие поддельные HTA-файлы, для развертывания сильно запутанного имплантата.
"Это вредоносное ПО имеет различные плагины для выполнения различных операций, таких как эксфильтрация данных, выполнение операций с файловой системой", - отметил тогда Quick Heal [PDF]. "Помимо этого, у него также есть различные методы с атакующими возможностями, которые выполняют различные операции".
Плагины позволяют ему собирать широкий спектр информации со скомпрометированного хостинга, управлять настройками прокси-сервера, захватывать содержимое буфера обмена, получать доступ к реквизитам учетной записи Microsoft Outlook и собирать одноразовые пароли от Symantec VIP. Уникальной особенностью вредоносного ПО является использование поля заголовка cookie для командно-контрольных коммуникаций (C2).
JSOutProx также означает тот факт, что это полностью функциональный RAT, реализованный на JavaScript.
"JavaScript просто не обеспечивает такой гибкости, как PE-файл", - говорится в отчете Fortinet FortiGuard Labs, опубликованном в декабре 2020 года, в котором описывается кампания, направленная против государственного денежно-кредитного и финансового секторов в Азии.
"Однако, поскольку многие веб-сайты используют JavaScript, большинству пользователей он кажется безвредным, поскольку людей, обладающих базовыми знаниями в области безопасности, учат избегать открытия вложений, заканчивающихся на .exe. Кроме того, поскольку код JavaScript может быть запутан, он легко обходит антивирусное обнаружение, позволяя ему проходить фильтрацию незамеченным."
Последняя серия атак, задокументированных Resecurity, связана с использованием поддельных уведомлений о платежах SWIFT или MoneyGram, чтобы обманом заставить получателей электронной почты выполнить вредоносный код. Сообщается, что с 8 февраля 2024 года активность резко возросла.
Были обнаружены артефакты, размещенные в репозиториях GitHub и GitLab, которые с тех пор были заблокированы и удалены.
"После успешной доставки вредоносного кода злоумышленник удаляет репозиторий и создает новый", - заявили в компании по кибербезопасности. "Эта тактика, вероятно, связана с тем, что злоумышленник использует ее для управления несколькими вредоносными нагрузками и дифференцирования целей".
Точное происхождение электронной преступной группировки, стоящей за вредоносным ПО, в настоящее время неизвестно, хотя виктимологическое распределение атак и изощренность имплантата указывают на то, что они происходят из Китая или связаны с ним, утверждает Resecurity.
Разработка происходит по мере того, как киберпреступники продвигают в темной Сети новое программное обеспечение под названием GEOBOX, которое перепрофилирует устройства Raspberry Pi для проведения мошенничества и анонимизации.
Предлагаемый всего за 80 долларов в месяц (или 700 долларов за пожизненную лицензию), инструмент позволяет операторам подделывать местоположения по GPS, эмулировать определенные настройки сети и программного обеспечения, имитировать настройки известных точек доступа Wi-Fi, а также обходить фильтры защиты от мошенничества.
Такие инструменты могут иметь серьезные последствия для безопасности, поскольку они открывают путь для широкого спектра преступлений, таких как спонсируемые государством атаки, корпоративный шпионаж, операции на рынке темных сетей, финансовое мошенничество, анонимное распространение вредоносного ПО и даже доступ к контенту с геозонированием.
"Простота доступа к GEOBOX вызывает серьезные опасения в сообществе кибербезопасности по поводу его потенциального широкого распространения среди различных участников угрозы", - заявили в Resecurity.
