Η Visa προειδοποιεί για την έξαρση των ανιχνεύσεων μιας νέας έκδοσης του κακόβουλου λογισμικού JsOutProx που στοχεύει χρηματοπιστωτικά ιδρύματα και τους πελάτες τους.

Σε μια προειδοποίηση ασφαλείας από τη μονάδα Payment Fraud Disruption (PDF) της Visa που είδε το BleepingComputer και στάλθηκε σε εκδότες καρτών, επεξεργαστές και αποδέκτες, η Visa αναφέρει ότι έλαβε γνώση μιας νέας εκστρατείας phishing που διανέμει το trojan απομακρυσμένης πρόσβασης στις 27 Μαρτίου 2024.

Η εκστρατεία αυτή είχε ως στόχο χρηματοπιστωτικά ιδρύματα στη Νότια και Νοτιοανατολική Ασία, τη Μέση Ανατολή και την Αφρική.

Το JsOutProx, το οποίο εντοπίστηκε για πρώτη φορά τον Δεκέμβριο του 2019, είναι ένα trojan απομακρυσμένης πρόσβασης (RAT) και μια εξαιρετικά συγκεχυμένη JavaScript backdoor που επιτρέπει στους χειριστές του να εκτελούν εντολές κελύφους, να κατεβάζουν πρόσθετα ωφέλιμα φορτία, να εκτελούν αρχεία, να καταγράφουν στιγμιότυπα οθόνης, να εγκαθιστούν επιμονή στη μολυσμένη συσκευή και να ελέγχουν το πληκτρολόγιο και το ποντίκι.

"Αν και η PFD δεν μπόρεσε να επιβεβαιώσει τον τελικό στόχο της κακόβουλης εκστρατείας που εντοπίστηκε πρόσφατα, αυτή η ομάδα ηλεκτρονικού εγκλήματος μπορεί να είχε στο παρελθόν στοχεύσει χρηματοπιστωτικά ιδρύματα για να διεξάγει δόλιες δραστηριότητες", αναφέρει η ειδοποίηση της Visa που είδε το BleepingComputer.

Η ειδοποίηση παρέχει δείκτες συμβιβασμού (IoCs) που σχετίζονται με την τελευταία εκστρατεία και συνιστά διάφορες ενέργειες μετριασμού, συμπεριλαμβανομένης της ευαισθητοποίησης σχετικά με τους κινδύνους phishing, της ενεργοποίησης του EMV και των τεχνολογιών ασφαλούς αποδοχής, της εξασφάλισης της απομακρυσμένης πρόσβασης και της παρακολούθησης για ύποπτες συναλλαγές.

Μια σχετική έκθεση της Resecurity εμβαθύνει στις λεπτομέρειες της επιχείρησης phishing JSOutProx, εξηγώντας ότι το κακόβουλο λογισμικό έχει εξελίξει την τελευταία του έκδοση για καλύτερη αποφυγή και τώρα χρησιμοποιεί το GitLab για να φιλοξενήσει τα ωφέλιμα φορτία του.

Στις επιθέσεις που παρατηρήθηκαν εναντίον τραπεζικών πελατών, η Resecurity είδε κατασκευασμένες οικονομικές ειδοποιήσεις να αποστέλλονται στους στόχους μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου που παριστάνουν τα νόμιμα ιδρύματα, παρουσιάζοντάς τους ψεύτικες ειδοποιήσεις πληρωμής SWIFT ή MoneyGram.

Στα μηνύματα ηλεκτρονικού ταχυδρομείου επισυνάπτονται αρχεία ZIP που περιέχουν αρχεία .js τα οποία, όταν εκτελούνται, κατεβάζουν τα κακόβουλα ωφέλιμα φορτία JSOutProx από ένα αποθετήριο GitLab.

Το πρώτο στάδιο του εμφυτεύματος JSOutProx υποστηρίζει μια σειρά εντολών που επιτρέπουν στους επιτιθέμενους να εκτελούν βασικές λειτουργίες, όπως η ενημέρωσή του, η διαχείριση του χρόνου αναστολής λειτουργίας του για επιχειρησιακή διακριτικότητα, η εκτέλεση διεργασιών και η έξοδος από το εμφύτευμα όταν είναι απαραίτητο.

Το δεύτερο στάδιο του εμφυτεύματος εισάγει πρόσθετα πρόσθετα που διευρύνουν σημαντικά το φάσμα των κακόβουλων δραστηριοτήτων που μπορούν να εκτελέσουν οι επιτιθέμενοι και περιλαμβάνουν τα εξής:
  • Ρυθμίζει την ενεργή επικοινωνία και τις λειτουργίες του RAT, επιτρέποντάς του να αποφεύγει τον εντοπισμό παραμένοντας αδρανές.
  • Τροποποίηση των ρυθμίσεων διακομιστή μεσολάβησης για χειραγώγηση της κυκλοφορίας στο διαδίκτυο και παράκαμψη των μέτρων ασφαλείας.
  • Κλέβει ή αλλάζει το περιεχόμενο του πρόχειρου, αποκτώντας πρόσβαση σε ευαίσθητα δεδομένα, όπως κωδικούς πρόσβασης.
  • Προσαρμόζει τις ρυθμίσεις DNS για να ανακατευθύνει την κυκλοφορία, βοηθώντας στο phishing ή στην κρυφή επικοινωνία C2.
  • Εξαγωγή στοιχείων και επαφών από το Outlook για πιθανές επιθέσεις phishing ή εξάπλωση κακόβουλου λογισμικού.
  • Παράκαμψη του UAC και τροποποίηση του μητρώου για βαθύτερη πρόσβαση στο σύστημα και διατήρηση της εμμονής.
  • Τροποποίηση των ρυθμίσεων DNS και proxy για τον έλεγχο ή τη συγκάλυψη της κυκλοφορίας στο διαδίκτυο.
  • Αυτοματοποιήστε κακόβουλες δραστηριότητες ή εξασφαλίστε επιμονή δημιουργώντας και τροποποιώντας αρχεία συντόμευσης.
  • Ανάκτηση και αποστολή δεδομένων από το μολυσμένο σύστημα σε επιτιθέμενους, ενδεχομένως για κλοπή πληροφοριών ή δραστηριότητες ransomware.
  • Κλοπή κωδικών πρόσβασης μίας χρήσης (OTP) για την παράκαμψη των προστασιών ελέγχου ταυτότητας δύο παραγόντων στο λογαριασμό-στόχο.


Η Resecurity αναφέρει ότι οι πρώτες επιχειρήσεις του JSOutProx αποδόθηκαν σε έναν δράστη απειλών με το όνομα "Solar Spider", αλλά δεν υπάρχει συγκεκριμένη απόδοση για την τελευταία εκστρατεία.

Με βάση την πολυπλοκότητα των επιθέσεων, το προφίλ των στόχων και τη γεωγραφία τους, οι αναλυτές εκτιμούν με μέτρια εμπιστοσύνη ότι το JSOutProx λειτουργεί από κινεζικούς ή συνδεδεμένους με την Κίνα απειλητικούς φορείς.

πηγή via DeepL