Visa, finansal kurumları ve müşterilerini hedefleyen JSoutProx kötü amaçlı yazılımların yeni bir sürümü için tespitlerde bir artış hakkında uyarı yapıyor.
Visa'nın BleepingComputer tarafından görülen ve kart ihraççılarına, işlemcilere ve edinenlere gönderilen ödeme sahtekarlığı kesintisi (PDF) biriminden bir güvenlik uyarısında Visa, 27 Mart 2024'te uzaktan erişim Truva atını dağıtan yeni bir kimlik avı kampanyasının farkına vardıklarını söylüyor.
Bu kampanya Güney ve Güneydoğu Asya, Orta Doğu ve Afrika'daki finans kurumlarını hedef aldı.
İlk olarak Aralık 2019'da karşılaşılan JSoutProx, operatörlerinin kabuk komutlarını çalıştırmasına, ek yükleri indirmesine, dosyaları yürütmesine, ekran görüntülerini yakalamasına, enfekte olmuş cihazda kalıcılığı kontrol etmesine ve klavyeyi kontrol etmesine izin veren bir uzaktan erişim Truva atı (sıçan) ve yüksek oranda gizlenmiş JavaScript arka kapısıdır. ve fare.
"PFD yakın zamanda tanımlanan kötü amaçlı yazılım kampanyasının nihai hedefini teyit edemese de, bu Ecrime grubu daha önce dolandırıcılık faaliyetleri yürütmeyi hedeflemiş olabilir."
Uyarı, en son kampanya ile ilgili uzlaşma (IOCS) göstergeleri sağlar ve kimlik avı riskleri hakkında farkındalık yaratmak, EMV ve güvenli kabul teknolojilerini sağlamak, uzaktan erişimi sağlamak ve şüpheli işlemlerin izlenmesi de dahil olmak üzere çeşitli azaltma eylemleri önermektedir.
Resculity ile ilgili bir rapor, JSOUTPROX kimlik avı işlemi detaylarına daha derinlemesine dalıyor ve kötü amaçlı yazılımın daha iyi kaçış için en son sürümünü geliştirdiğini ve şimdi yüklerini barındırmak için GitLab'ı kullandığını açıklıyor.
Bankacılık müşterilerine yönelik gözlemlenen saldırılarda, yeniden güvenlik, meşru kurumları taklit eden e -postalar yoluyla hedeflere gönderilen ve sahte hızlı veya paragram ödeme bildirimleri sunan fabrikasyon finansal bildirimleri gördü.
E -postalara, yürütüldüğünde, bir GITLAB deposundan kötü amaçlı jsoutprox yüklerini indiren .js dosyaları içeren zip arşivleri eklenir.
JSoutProx implantının ilk aşaması, saldırganların güncelleme, operasyonel takdir yetkisi için uyku süresini yönetme, süreçler yürütme ve gerektiğinde implanttan çıkma gibi temel işlevleri gerçekleştirmesini sağlayan bir dizi komutu destekler.
İmplantın ikinci aşaması, saldırganların gerçekleştirebileceği ve aşağıdakileri içerebileceği kötü amaçlı faaliyetleri önemli ölçüde genişleten ek eklentiler sunar:
Resculity, JSoutProx'un erken operasyonlarının 'Solar Spider' adlı bir tehdit oyuncusuna atfedildiğini, ancak en son kampanya için somut bir atıf olmadığını söyledi.
Saldırıların sofistike olmasına, hedeflerin profiline ve coğrafyalarına dayanarak, analistler JSoutprox'un Çin veya Çin'e bağlı tehdit aktörleri tarafından işletildiğine dair ılımlı bir güvenle tahmin ediyorlar.
Dinodasrat kötü amaçlı yazılım, Casusluk Kampanyasında Linux sunucularını hedefler
Linux için Yeni Bifrost Kötü Yazılım Mimics VMware Alanı Kaçma için
Labhost siber suç hizmeti, Phish Kanadalı banka kullanıcılarının kimsesine izin verir
Bilgisayar korsanları kötüye kullanın Google Cloud Massive Bankacılık Truva Kampanyası
Yeni QBOT kötü amaçlı yazılım varyantı, kaçış için sahte Adobe yükleyici açılır penceresini kullanır
Kaynak: Bleeping Computer