Le groupe de menaces sophistiqué à l'origine d'un cheval de Troie d'accès à distance JavaScript (RAT) complexe connu sous le nom de JSOutProx a publié une nouvelle version du logiciel malveillant pour cibler les organisations du Moyen-Orient.
La société de services de cybersécurité Resecurity a analysé les détails techniques de plusieurs incidents impliquant le malware JSOutProx ciblant les clients financiers et délivrant soit une fausse notification de paiement SWIFT si elle cible une entreprise, soit un modèle MoneyGram lorsqu'elle cible des citoyens privés, a écrit la société dans un rapport publié cette semaine. Le groupe menaçant a ciblé des organisations gouvernementales en Inde et à Taiwan, ainsi que des organisations financières aux Philippines, au Laos, à Singapour, en Malaisie et en Inde – et maintenant Arabie Saoudite.
La dernière version de JSOutProx est un programme très flexible et bien organisé du point de vue du développement, permettant aux attaquants d'adapter ses fonctionnalités à l'environnement spécifique de la victime, explique Gene Yoo, PDG de Resecurity.
« Il s'agit d'un implant de malware comportant plusieurs étapes et doté de plusieurs plug-ins », explique-t-il. "En fonction de l'environnement de la victime, cela pénètre directement et la saigne ou empoisonne l'environnement, selon les plug-ins activés."
Ces attaques sont la dernière campagne menée par un groupe cybercriminel connu sous le nom de Solar Spider, qui semble être le seul groupe à utiliser le malware JSOutProx. En fonction des cibles du groupe – généralement des organisations en Inde, mais aussi en Asie-Pacifique, en Afrique et Régions du Moyen-Orient — c'est probablement lié à la Chine, Resecurity déclaré dans son analyse.
"En établissant le profil des cibles et certains détails que nous avons obtenus sur l'infrastructure, nous soupçonnons que cela est lié à la Chine", explique Yoo.
« Plug-in modulaire hautement obscurci »
JSOutProx est bien connu dans le secteur financier. Visa, par exemple, a documenté des campagnes utilisant l'outil d'attaque en 2023, dont une visant plusieurs banques de la région Asie-Pacifique, a déclaré la société dans son rapport semestriel sur les menaces publié en décembre.
Le cheval de Troie d'accès à distance (RAT) est une « porte dérobée JavaScript hautement obscurcie, dotée de capacités de plug-in modulaires, capable d'exécuter des commandes shell, de télécharger, de télécharger et d'exécuter des fichiers, de manipuler le système de fichiers, d'établir la persistance, de prendre des captures d'écran et de manipuler le clavier et la souris. événements », a déclaré Visa dans son rapport. « Ces fonctionnalités uniques permettent aux logiciels malveillants d’échapper à la détection des systèmes de sécurité et d’obtenir une variété d’informations sensibles de paiement et financières auprès des institutions financières ciblées.
JSOutProx apparaît généralement sous la forme d'un fichier PDF d'un document financier dans une archive zip. Mais en réalité, c'est JavaScript qui s'exécute lorsqu'une victime ouvre le fichier. La première étape de l'attaque collecte des informations sur le système et communique avec des serveurs de commande et de contrôle obscurcis via DNS dynamique. La deuxième étape de l'attaque télécharge l'un des 14 plug-ins pour mener d'autres attaques, notamment l'accès à Outlook et à la liste de contacts de l'utilisateur, et l'activation ou la désactivation des proxys sur le système.
Le RAT télécharge des plugins depuis GitHub – ou plus récemment, GitLab – pour paraître légitimes.
"La découverte de la nouvelle version de JSOutProx, associée à l'exploitation de plateformes comme GitHub et GitLab, met en évidence les efforts incessants et la cohérence sophistiquée de ces acteurs malveillants", a déclaré Resecurity dans son analyse.
Monétiser les données financières du Moyen-Orient
Une fois que Solar Spider compromet un utilisateur, les attaquants collectent des informations, telles que les numéros de compte principal et les informations d'identification de l'utilisateur, puis mènent diverses actions malveillantes contre la victime, selon le rapport de menace de Visa.
"Le malware JSOutProx constitue une menace sérieuse pour les institutions financières du monde entier, et en particulier celles de la région AP, car ces entités ont été plus fréquemment ciblées par ce malware", indique le rapport Visa.
Les entreprises devraient informer leurs employés sur la façon de gérer la correspondance non sollicitée et suspecte afin d'atténuer la menace des logiciels malveillants, a déclaré Visa. De plus, toute instance de logiciel malveillant doit faire l’objet d’une enquête et être complètement corrigée pour éviter une réinfection.
Les grandes entreprises et les agences gouvernementales sont plus susceptibles d'être attaquées par le groupe, car Solar Spider vise les entreprises les plus prospères, explique Yoo de Resecurity. Cependant, pour la plupart, les entreprises ne sont pas obligées de prendre des mesures spécifiques à la menace, mais se concentrent plutôt sur des stratégies de défense en profondeur, explique-t-il.
"L'utilisateur ne doit pas se concentrer sur l'objet brillant dans le ciel, comme les Chinois l'attaquent, mais sur ce qu'il doit faire, c'est créer une meilleure base", explique Yoo. « Avoir de bons correctifs, une bonne segmentation du réseau et une bonne gestion des vulnérabilités. Si vous faites cela, rien de tout cela n’aurait probablement d’impact sur vos utilisateurs.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/threat-intelligence/solar-spider-spins-up-new-malware-to-entrap-saudi-arabian-banks
