Nova Onda do Malware JSOutProx Mira Empresas Financeiras na Ásia-Pacífico e Oriente Médio e Norte da África
5 de Abril de 2024

Organizações financeiras na Ásia-Pacífico (APAC) e no Oriente Médio e Norte da África (MENA) estão sendo visadas por uma nova versão de uma "ameaça evolutiva" chamada JSOutProx.

"JSOutProx é um sofisticado framework de ataque que utiliza tanto JavaScript quanto .NET", disse a Resecurity em um relatório técnico publicado esta semana.

"Ele usa o recurso de (des)serialização do .NET para interagir com um módulo JavaScript principal rodando na máquina da vítima.

Uma vez executado, o malware permite que o framework carregue vários plugins, que realizam atividades maliciosas adicionais no alvo." Identificado pela primeira vez em dezembro de 2019 pela Yoroi, os primeiros ataques distribuindo JSOutProx foram atribuídos a um ator de ameaças rastreado como Solar Spider.

O histórico de operações inclui ataques a bancos e grandes empresas na Ásia e Europa.

No final de 2021, a Quick Heal Security Labs detalhou ataques que aproveitavam o trojan de acesso remoto (RAT) para visar funcionários de pequenos bancos financeiros da Índia.

Outras ondas de campanha miraram em estabelecimentos governamentais indianos já em abril de 2020.

As cadeias de ataque são conhecidas por utilizar e-mails de spear-phishing com anexos maliciosos em JavaScript, disfarçados de PDFs e arquivos ZIP contendo arquivos HTA fraudulentos para implantar o código altamente ofuscado.

"Esse malware possui vários plugins para realizar várias operações, como exfiltração de dados, execução de operações no sistema de arquivos", observou a Quick Heal [PDF] na época.

"Além disso, ele também possui vários métodos com capacidades ofensivas que realizam diversas operações." Os plugins permitem que ele colete uma ampla gama de informações do host comprometido, controle configurações de proxy, capture o conteúdo da área de transferência, acesse detalhes de contas do Microsoft Outlook e colete senhas de uso único do Symantec VIP.

Um recurso único do malware é o uso do campo de cabeçalho Cookie para comunicações de comando e controle (C2).

JSOutProx também se destaca por ser um RAT totalmente funcional implementado em JavaScript.

"JavaScript simplesmente não oferece tanta flexibilidade quanto um arquivo PE", disse a Fortinet FortiGuard Labs em um relatório divulgado em dezembro de 2020, descrevendo uma campanha dirigida contra setores monetários e financeiros governamentais na Ásia.

"No entanto, como JavaScript é usado por muitos sites, parece benigno para a maioria dos usuários, já que indivíduos com conhecimento básico de segurança são ensinados a evitar abrir anexos que terminem com .exe.

Além disso, como o código JavaScript pode ser ofuscado, ele facilmente dribla a detecção por antivírus, permitindo que ele filtre sem ser detectado." O conjunto mais recente de ataques documentado pela Resecurity envolve o uso de notificações falsas de pagamentos SWIFT ou MoneyGram para enganar os destinatários de e-mails a executar o código malicioso.

A atividade teria visto um pico a partir de 8 de fevereiro de 2024.

Os artefatos foram observados hospedados em repositórios GitHub e GitLab, que desde então foram bloqueados e removidos.

"Uma vez que o código malicioso tenha sido entregue com sucesso, o ator remove o repositório e cria um novo", disse a empresa de cibersegurança.

"Essa tática provavelmente está relacionada ao uso do ator para gerenciar múltiplos payloads maliciosos e diferenciar alvos."

A origem exata do grupo de e-crime por trás do malware é atualmente desconhecida, embora a distribuição de vitimologia dos ataques e a sofisticação do implant sugerem que eles se originem da China ou sejam a ela afiliados, postulou a Resecurity.

Esse desenvolvimento ocorre enquanto os criminosos cibernéticos promovem na dark web um novo software chamado GEOBOX que repurposa dispositivos Raspberry Pi para conduzir fraudes e anonimização.

Oferecido por apenas $80 por mês (ou $700 por uma licença vitalícia), a ferramenta permite que os operadores falsifiquem localizações GPS, emulem configurações de rede e software específicas, imitem configurações de pontos de acesso Wi-Fi conhecidos, além de contornar filtros anti-fraude.

Tais ferramentas podem ter implicações sérias de segurança, pois abrem a porta para um amplo espectro de crimes como ataques patrocinados pelo estado, espionagem corporativa, operações de mercado dark web, fraude financeira, distribuição anônima de malware e até acesso a conteúdo geograficamente restrito.

"A facilidade de acesso ao GEOBOX levanta preocupações significativas dentro da comunidade de cibersegurança sobre seu potencial para adoção generalizada entre vários atores de ameaças", disse a Resecurity.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...