亚太地区 (APAC) 以及中东和北非 (MENA) 的金融组织正成为名为JSOutProx的新恶意软件“不断演变的威胁”的目标。
“JSOutProx 是一个利用 JavaScript 和 .NET 的复杂攻击框架。”Resecurity在本周发布的一份技术报告中表示。
“它利用 .NET(反)序列化功能与受害者计算机上运行的核心 JavaScript 模块进行交互。一旦执行,恶意软件就会使框架加载各种插件,从而在目标上执行其他恶意活动。”
Yoroi 于 2019 年 12 月首次发现 JsOutProx 活动, JSOutProx 的早期攻击被归因于名为Solar Spider 的黑客组织。
2021 年底,Quick Heal 安全实验室详细介绍了 JSOutProx 利用远程访问木马 (RAT) 针对印度小型金融银行员工的攻击活动。
攻击链利用带有恶意 JavaScript 附件的鱼叉式网络钓鱼电子邮件,这些附件伪装成包含恶意 HTA 文件的 PDF 和 ZIP 档案,以部署经过严重混淆的植入程序。
Quick Heal当时在报告中指出:“该恶意软件具有各种插件来执行各种操作,例如数据泄露、执行文件系统操作。”
这些插件使其能够从受感染的主机获取大量信息、控制代理设置、捕获剪贴板内容、访问 Microsoft Outlook 帐户详细信息以及从 Symantec VIP 收集一次性密码。该恶意软件的一个独特功能是使用 Cookie 标头字段进行命令和控制 (C2) 通信。
JSOutProx 还代表了这样一个事实:它是一个用 JavaScript 实现的功能齐全的 RAT(远程访问木马)。
Fortinet FortiGuard 实验室在 2020 年 12 月发布的一份报告中表示, “JavaScript 根本无法提供与 PE 文件一样多的灵活性”,该报告描述了一项针对亚洲政府货币和金融部门的活动。
鱼叉式网络钓鱼电子邮件
“然而,由于许多网站都使用 JavaScript,它对大多数用户来说似乎是良性的,因为具有基本安全知识的个人被教导避免打开以 .exe 结尾的附件。此外,由于 JavaScript 代码可能会被混淆,因此它很容易绕过防病毒软件检测,使其能够在未被检测到的情况下过滤。”
Resecurity 记录的最新一组攻击需要使用虚假的 SWIFT 或 MoneyGram 付款通知来诱骗电子邮件收件人执行恶意代码。据说该活动从 2024 年 2 月 8 日开始出现激增。
这些工件已被观察到托管在 GitHub 和 GitLab 存储库上,后来已被封锁并删除。
该网络安全公司表示:“一旦恶意代码成功交付,攻击者就会删除存储库并创建一个新的存储库。” “这种策略可能与攻击者用来管理多个恶意负载和区分目标的方式有关。”
Resecurity 认为,该恶意软件背后的电子犯罪团伙的确切起源目前尚不清楚。
这一进展发生之际,网络犯罪分子正在暗网上推广名为 GEOBOX 的新软件,该软件重新利用Raspberry Pi 设备进行欺诈和匿名化。
该工具每月仅需 80 美元(或终身许可证 700 美元),允许运营商欺骗 GPS 位置、模拟特定网络和软件设置、模仿已知 Wi-Fi 接入点的设置以及绕过反欺诈过滤器。
此类工具可能会产生严重的安全隐患,它们为各种犯罪行为打开了大门,例如国家支持的攻击、企业间谍活动、暗网市场操作、金融欺诈、匿名分发恶意软件,甚至访问地理围栏内容。
Resecurity表示:“GEOBOX 的访问便捷性引起了网络安全界对其在各种网络攻击组织中广泛采用的潜力严重担忧。”
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/VQPqyumVxIZE8f4MH4r5Tw
暂无评论内容