El sofisticado grupo de amenazas detrás de un complejo troyano de acceso remoto (RAT) de JavaScript conocido como JSOutProx ha lanzado una nueva versión del malware dirigida a organizaciones en el Medio Oriente.
La empresa de servicios de ciberseguridad Resecurity analizó detalles técnicos de múltiples incidentes relacionados con el malware JSOutProx dirigido a clientes financieros y entregando una notificación de pago SWIFT falsa si estaba dirigida a una empresa, o una plantilla de MoneyGram cuando estaba dirigida a ciudadanos privados, escribió la compañía en un informe publicado esta semana. El grupo de amenazas se ha dirigido a organizaciones gubernamentales en India y Taiwán, así como a organizaciones financieras en Filipinas, Laos, Singapur, Malasia, India y ahora Arabia Saudita.
La versión más reciente de JSOutProx es un programa muy flexible y bien organizado desde una perspectiva de desarrollo, que permite a los atacantes adaptar su funcionalidad al entorno específico de la víctima, afirma Gene Yoo, director ejecutivo de Resecurity.
“Es un implante de malware con múltiples etapas y múltiples complementos”, afirma. “Dependiendo del entorno de la víctima, entra directamente y luego la sangra o envenena el entorno, dependiendo de qué complementos estén habilitados”.
Los ataques son la última campaña de un grupo cibercriminal conocido como Solar Spider, que parece ser el único grupo que utiliza el malware JSOutProx. Según los objetivos del grupo (normalmente organizaciones en la India, pero también en Asia-Pacífico, África y Regiones de Medio Oriente – probablemente esté vinculado a China, Reseguridad afirma en su análisis.
“Al perfilar los objetivos y algunos de los detalles que obtuvimos en la infraestructura, sospechamos que está relacionado con China”, dice Yoo.
“Muy ofuscado… Complemento modular”
JSOutProx es bien conocido en la industria financiera. Visa, por ejemplo, documentó campañas que utilizaron la herramienta de ataque en 2023, incluida una dirigida a varios bancos en la región de Asia y el Pacífico, afirmó la compañía en su Informe Semestral de Amenazas publicado en diciembre.
El troyano de acceso remoto (RAT) es una “puerta trasera de JavaScript altamente ofuscada, que tiene capacidades de complementos modulares, puede ejecutar comandos de shell, descargar, cargar y ejecutar archivos, manipular el sistema de archivos, establecer persistencia, tomar capturas de pantalla y manipular el teclado y el mouse”. eventos”, afirmó Visa en su informe. “Estas características únicas permiten que el malware evada la detección de los sistemas de seguridad y obtenga una variedad de información financiera y de pago confidencial de instituciones financieras específicas.
JSOutProx suele aparecer como un archivo PDF de un documento financiero en un archivo zip. Pero en realidad, es JavaScript el que se ejecuta cuando una víctima abre el archivo. La primera etapa del ataque recopila información sobre el sistema y se comunica con servidores de comando y control ofuscados a través de DNS dinámico. La segunda etapa del ataque descarga cualquiera de los 14 complementos para realizar más ataques, incluido obtener acceso a Outlook y a la lista de contactos del usuario, y habilitar o deshabilitar servidores proxy en el sistema.
La RAT descarga complementos de GitHub (o más recientemente, GitLab) para parecer legítimo.
“El descubrimiento de la nueva versión de JSOutProx, junto con la explotación de plataformas como GitHub y GitLab, enfatiza los esfuerzos incansables y la consistencia sofisticada de estos actores maliciosos”, dijo Resecurity en su análisis.
Monetización de datos de las finanzas de Oriente Medio
Una vez que Solar Spider compromete a un usuario, los atacantes recopilan información, como números de cuenta principales y credenciales de usuario, y luego llevan a cabo una variedad de acciones maliciosas contra la víctima, según el informe de amenazas de Visa.
“El malware JSOutProx representa una seria amenaza para las instituciones financieras de todo el mundo, y especialmente aquellas en la región AP, ya que esas entidades han sido atacadas con mayor frecuencia por este malware”, afirma el informe de Visa.
Las empresas deben educar a los empleados sobre cómo manejar la correspondencia sospechosa y no solicitada para mitigar la amenaza del malware, afirmó Visa. Además, cualquier instancia de malware debe investigarse y remediarse por completo para evitar la reinfección.
Las empresas más grandes y las agencias gubernamentales tienen más probabilidades de ser atacadas por el grupo porque Solar Spider tiene en la mira a las empresas más exitosas, dice Yoo de Resecurity. Sin embargo, en su mayor parte, las empresas no tienen que tomar medidas específicas para las amenazas, sino centrarse en estrategias de defensa en profundidad, afirma.
“El usuario debe centrarse en no mirar el objeto brillante en el cielo, como si los chinos estuvieran atacando, sino en crear una base mejor”, dice Yoo. “Tener buenos parches, segmentación de red y gestión de vulnerabilidades. Si hace eso, entonces nada de esto” probablemente afectará a sus usuarios.
Fuente Original darkreading
