Financiële organisaties in de Azië-Pacific (APAC) en het Midden-Oosten en Noord-Afrika (MENA) worden het doelwit van een nieuwe versie van een ‘evoluerende dreiging’, genaamd JSOutProx.
“JSOutProx is een geavanceerd aanvalsframework dat zowel JavaScript als .NET gebruikt”, zegt Resecurity in een technisch rapport dat deze week is gepubliceerd.
“Het maakt gebruik van de .NET (de)serialisatiefunctie om te communiceren met een kern-JavaScript-module die op de machine van het slachtoffer draait. Eenmaal uitgevoerd, zorgt de malware ervoor dat het raamwerk verschillende plug-ins kan laden, die extra kwaadaardige activiteiten op het doelwit uitvoeren.”
Vroege aanvallen waarbij JSOutProx werd verspreid, werden voor het eerst geïdentificeerd in december 2019 door Yoroi en toegeschreven aan een bedreigingsacteur die wordt gevolgd als Solar Spider. Het operationele trackrecord van stakende banken en andere grote bedrijven in Azië en Europa.
Eind 2021 heeft Quick Heal Security Labs gedetailleerde aanvallen beschreven waarbij gebruik werd gemaakt van de trojan voor externe toegang (RAT) om werknemers van kleine financiële banken uit India te onderscheiden. Andere campagnegolven richtten zich al in april 2020 op Indiase overheidsinstellingen.
Het is bekend dat aanvalsketens gebruik maken van spearphishing-e-mails met kwaadaardige JavaScript-bijlagen die zich voordoen als pdf's en ZIP-archieven met frauduleuze HTA-bestanden om het zwaar versluierde implantaat in te zetten.
“Deze malware heeft verschillende plug-ins om verschillende bewerkingen uit te voeren, zoals het exfiltreren van gegevens en het uitvoeren van bestandssysteembewerkingen”, aldus Quick Heal [PDF] destijds. “Daarnaast beschikt het ook over verschillende methoden met offensieve capaciteiten die verschillende operaties uitvoeren.”
Met de plug-ins kan het een breed scala aan informatie van de getroffen host verzamelen, proxy-instellingen beheren, klembordinhoud vastleggen, toegang krijgen tot Microsoft Outlook-accountgegevens en eenmalige wachtwoorden van Symantec VIP verzamelen. Een uniek kenmerk van de malware is het gebruik van het Cookie-headerveld voor command-and-control (C2)-communicatie.
JSOutProx staat ook voor het feit dat het een volledig functionele RAT is, geïmplementeerd in JavaScript.
“JavaScript biedt simpelweg niet zoveel flexibiliteit als een PE-bestand”, zei Fortinet FortiGuard Labs in een rapport dat in december 2020 werd uitgebracht en waarin een campagne werd beschreven die gericht was tegen de monetaire en financiële overheidssectoren in Azië.
“Omdat JavaScript echter door veel websites wordt gebruikt, komt het voor de meeste gebruikers als goedaardig over, omdat individuen met basiskennis van beveiliging wordt geleerd om te voorkomen dat bijlagen worden geopend die eindigen op .exe. Omdat JavaScript-code versluierd kan worden, omzeilt het gemakkelijk antivirusprogramma's detectie, waardoor het onopgemerkt door kan filteren.”
De nieuwste reeks aanvallen die door Resecurity zijn gedocumenteerd, omvat het gebruik van valse SWIFT- of MoneyGram-betalingsmeldingen om e-mailontvangers te misleiden zodat ze de kwaadaardige code uitvoeren. Er wordt gezegd dat de activiteit vanaf 8 februari 2024 een piek kende.
De artefacten zijn waargenomen op GitHub- en GitLab-opslagplaatsen, die sindsdien zijn geblokkeerd en verwijderd.
“Zodra de kwaadaardige code met succes is afgeleverd, verwijdert de actor de repository en maakt een nieuwe aan”, aldus het cyberbeveiligingsbedrijf. “Deze tactiek houdt waarschijnlijk verband met de manier waarop de acteur meerdere kwaadaardige ladingen beheert en doelen onderscheidt.”
De exacte oorsprong van de e-crime-groep achter de malware is momenteel onbekend, hoewel de slachtofferrol van de aanvallen en de verfijning van het implantaat erop duiden dat ze afkomstig zijn uit China of daarmee verbonden zijn, stelde Resecurity.
De ontwikkeling komt omdat cybercriminelen op het dark web nieuwe software promoten, genaamd GEOBOX, die Raspberry Pi-apparaten hergebruikt voor het uitvoeren van fraude en anonimisering.
De tool wordt aangeboden voor slechts $80 per maand (of $700 voor een levenslange licentie) en stelt operators in staat GPS-locaties te vervalsen, specifieke netwerk- en software-instellingen te emuleren, instellingen van bekende Wi-Fi-toegangspunten na te bootsen en antifraudefilters te omzeilen. .
Dergelijke tools kunnen ernstige gevolgen hebben voor de veiligheid, omdat ze de deur openen voor een breed spectrum aan misdaden, zoals door de staat gesponsorde aanvallen, bedrijfsspionage, marktoperaties op het dark web, financiële fraude, anonieme verspreiding van malware en zelfs toegang tot geofenced-inhoud.
“Het gemak van toegang tot GEOBOX roept grote zorgen op binnen de cyberbeveiligingsgemeenschap over het potentieel ervan voor wijdverbreide adoptie onder verschillende bedreigingsactoren”, aldus Resecurity.
