Il sofisticato gruppo di minacce dietro un complesso Trojan di accesso remoto JavaScript (RAT) noto come JSOutProx ha rilasciato una nuova versione del malware per prendere di mira le organizzazioni in Medio Oriente.
La società di servizi di sicurezza informatica Resecurity ha analizzato i dettagli tecnici di numerosi incidenti che coinvolgono il malware JSOutProx che prende di mira i clienti finanziari e fornisce una falsa notifica di pagamento SWIFT se prende di mira un'azienda o un modello MoneyGram se prende di mira privati cittadini, ha scritto la società in un rapporto pubblicato questa settimana. Il gruppo di minaccia ha preso di mira organizzazioni governative in India e Taiwan, nonché organizzazioni finanziarie nelle Filippine, Laos, Singapore, Malesia, India – e ora Arabia Saudita.
La versione più recente di JSOutProx è un programma molto flessibile e ben organizzato dal punto di vista dello sviluppo, che consente agli aggressori di personalizzare le sue funzionalità per l'ambiente specifico della vittima, afferma Gene Yoo, CEO di Resecurity.
"Si tratta di un impianto malware a più fasi e dotato di più plug-in", afferma. "A seconda dell'ambiente della vittima, entra direttamente e poi la dissangua o avvelena l'ambiente, a seconda di quali plug-in sono abilitati."
Gli attacchi sono l'ultima campagna di un gruppo criminale informatico noto come Solar Spider, che sembra essere l'unico gruppo che utilizza il malware JSOutProx. Sulla base degli obiettivi del gruppo, in genere organizzazioni in India, ma anche nell'Asia-Pacifico, in Africa e Regioni del Medio Oriente — è probabilmente legato alla Cina, Resecurity ha affermato nella sua analisi.
"Definendo gli obiettivi e alcuni dettagli che abbiamo ottenuto nell'infrastruttura, sospettiamo che sia collegata alla Cina", afferma Yoo.
“Altamente offuscato… Plug-in modulare”
JSOutProx è ben noto nel settore finanziario. Visa, ad esempio, ha documentato campagne che utilizzavano lo strumento di attacco nel 2023, inclusa una contro diverse banche nella regione Asia-Pacifico, ha affermato la società in il suo rapporto semestrale sulle minacce pubblicato a dicembre.
Il Trojan di accesso remoto (RAT) è una "backdoor JavaScript altamente offuscata, che ha funzionalità di plugin modulari, può eseguire comandi shell, scaricare, caricare ed eseguire file, manipolare il file system, stabilire la persistenza, acquisire screenshot e manipolare tastiera e mouse. eventi”, ha affermato Visa nel suo rapporto. “Queste caratteristiche uniche consentono al malware di eludere il rilevamento da parte dei sistemi di sicurezza e di ottenere una serie di informazioni finanziarie e di pagamento sensibili da istituti finanziari presi di mira.
JSOutProx viene generalmente visualizzato come file PDF di un documento finanziario in un archivio zip. Ma in realtà è JavaScript che viene eseguito quando una vittima apre il file. La prima fase dell'attacco raccoglie informazioni sul sistema e comunica con server di comando e controllo offuscati tramite DNS dinamico. La seconda fase dell'attacco scarica uno qualsiasi dei circa 14 plug-in per condurre ulteriori attacchi, compreso l'accesso a Outlook e all'elenco dei contatti dell'utente e l'attivazione o disattivazione dei proxy sul sistema.
Il RAT scarica plugin da GitHub – o, più recentemente, GitLab – per apparire legittimi.
"La scoperta della nuova versione di JSOutProx, insieme allo sfruttamento di piattaforme come GitHub e GitLab, sottolinea gli sforzi incessanti e la coerenza sofisticata di questi attori malintenzionati", ha affermato Resecurity nella sua analisi.
Monetizzazione dei dati finanziari del Medio Oriente
Una volta che Solar Spider compromette un utente, gli aggressori raccolgono informazioni, come numeri di conto primari e credenziali dell'utente, e quindi conducono una serie di azioni dannose contro la vittima, secondo il rapporto sulle minacce di Visa.
"Il malware JSOutProx rappresenta una seria minaccia per le istituzioni finanziarie di tutto il mondo, e in particolare per quelle nella regione AP poiché tali entità sono state prese di mira più frequentemente da questo malware", afferma il rapporto Visa.
Le aziende dovrebbero istruire i dipendenti su come gestire la corrispondenza non richiesta e sospetta per mitigare la minaccia del malware, ha affermato Visa. Inoltre, qualsiasi istanza del malware deve essere analizzata e risolta completamente per prevenire la reinfezione.
Le aziende più grandi e le agenzie governative hanno maggiori probabilità di essere attaccate dal gruppo perché Solar Spider ha gli occhi puntati sulle aziende di maggior successo, afferma Yoo di Resecurity. Nella maggior parte dei casi, tuttavia, le aziende non devono adottare misure specifiche per le minacce, ma concentrarsi invece su strategie di difesa approfondite, afferma.
"L'utente dovrebbe concentrarsi non sul guardare l'oggetto luccicante nel cielo, come stanno attaccando i cinesi, ma su ciò che deve fare è creare una base migliore", dice Yoo. “Avere buone patch, segmentazione della rete e gestione delle vulnerabilità. Se lo fai, nulla di tutto ciò avrà probabilmente un impatto sui tuoi utenti.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/threat-intelligence/solar-spider-spins-up-new-malware-to-entrap-saudi-arabian-banks
