Visa upozorava na JSOutProx RAT

AUTOR ·

Kompanija Visa upozorava na JSOutProx zlonamjerni softver iza koga stoji zlonamjerni akter označen kao Solar Spider. Ovaj zlonamjerni softver je napredni trojanac za daljinski pristup (eng. Remote Access Trojan – RAT) zasnovan na JavaScript kôdu koji cilja finansijske institucije od 2019. godine.

JSOutProx

Visa upozorava na JSOutProx RAT; Source: Bing Image Creator

JSOUTPROX RAT

JSOutProx je trojanac za daljinski pristup (RAT) koji je prvi put identifikovan u decembru 2019. godine. To je veoma zamagljen JavaScript backdoor i poznat je po svom sofisticiranom okviru za napade koji koristi i JavaScript i .NET programsko okruženje. Zlonamjerni softver koristi .NET funkciju (de)serializacije za interakciju sa osnovnim JavaScript modulom koji radi na inficiranom uređaju.

Jednom izvršen, JSOutProx RAT može da učita različite dodatke koji izvršavaju dodatne zlonamjerne aktivnosti na uređaju. Ovi dodaci mogu da obavljaju zadatke kao što su praćenje korisničkog unosa (eng. keylogging), snimanje ekrana, manipulacija datotekama i presretanje mrežnog saobraćaja. Zlonamjerni softver je sposoban da uspostavi postojanost na zaraženom uređaju i omogućava njegovim operaterima da pokreću komande, preuzimaju dodatne korisne tovare, izvršavaju datoteke i kontrolišu tastaturu i miš.

 

Distribucija

Zlonamjerni softver JSOutProx RAT se isporučuje putem phishing poruka koje se predstavljaju kao obavještenja o bankovnim transakcijama ili su prerušene u PDF datoteke, ali su zapravo JavaScript kôdovi. Početna infekcija počinje tako što korisnik otvara i izvršava zlonamjernu datoteku koja se nalazi u prilogu elektronske pošte. Kada se izvrši, zlonamjerni softver uspostavlja vezu sa svojim serverom za komandu i kontrolu (C2), omogućavajući napadaču da daljinski kontroliše zaraženi sistem i izvrši različite radnje kao što su krađa podataka ili manipulacija sistemom. Poboljšani mehanizmi zaštite koje koristi zlonamjerni akter koji stoji iza ovog zlonamjernog softvera otežava sigurnosnim istraživačima da u potpunosti analiziraju i poraze napadačke mogućnosti zlonamjernog softvera.

 

Mogućnosti

Neke od mogućnosti ovog zlonamjernog softvera uključuju:

  1. JSOutProx RAT može da izvrši proizvoljne komande na kompromitovanom sistemu, omogućavajući napadačima da manipulišu datotekama i direktorijumima, instaliraju dodatni softver ili ukradu osjetljive informacije,
  2. Zlonamjerni softver je dizajniran za preuzimanje daljeg zlonamjernog sadržaja sa svog komandnog i kontrolnog (C2) servera, proširujući obim potencijalnih napada,
  3. JSOutProx RAT može da izvršava datoteke na zaraženom sistemu, omogućavajući napadačima da pokrenu bilo koju vrstu zlonamjernog kôda koji žele,
  4. Zlonamjerni softver osigurava da ostane aktivan i operativan na kompromitovanom uređaju uspostavljanjem trajnog pristupa, omogućavajući napadaču da zadrži kontrolu čak i ako žrtva ponovo pokrene svoj računar ili se odjavi sa sesije,
  5. JSOutProx RAT može da napravi snimke ekrana radne površine zaraženog sistema, pružajući dragocjene obavještajne podatke za njegove operatere,
  6. Zlonamjerni softver je sposoban da presreće i manipuliše unosom sa tastature i miša kako bi zaobišao bezbjednosne mjere ili izvršio neovlaštene radnje u ime žrtve,
  7. JSOutProx zlonamjerni softver vrši složeno zamagljivanje unutar svoje JavaScript backdoor strukture, što otežava bezbjednosnim rješenjima da otkriju i analiziraju strukturu softvera. Njegova modularna arhitektura dodataka dodatno komplikuje napore analize,
  8. Zlonamjerni softver koristi polje zaglavlja kolačića u svojoj komunikaciji sa komandnim i kontrolnim serverom, što može učiniti da se saobraćaj pojavi kao legitimna internet aktivnost i da izbjegne detekciju od strane bezbjednosnih rješenja.

 

Kampanja

Kampanja napada na korisnike korištenjem JSOutProx RAT zlonamjernog softvera je prvi put identifikovana oko 8. februara 2024. godine, kada je glavni sistemski regulator sa sjedištem u Kraljevini Saudijskoj Arabiji prijavio incident usmjeren na klijente jedne od njihovih regionalnih banaka. Više korisnika bankarskih usluga je ciljano putem napada lažnog predstavljanja koristeći adrese elektronske pošte za koje se činilo da potiču iz legitimnih izvora. Zlonamjerni softver je isporučen preko phishing veze ili priloga koji je preuzeo korisnik i nesvjesno instalirao JSOutProx RAT na uređaj.

U najnovijoj kampanji došlo je do porasta broja otkrivanja, a na meti su finansijske institucije u južnoj i jugoistočnoj Aziji, na Bliskom istoku i u Africi. Više korisnika bankarskih usluga je ciljano putem napada lažnog predstavljanja koristeći adrese elektronske pošte za koje se činilo da potiču iz legitimnih izvora.

 

ZAKLJUČAK

JSOutProx RAT zlonamjerni softver je napredni napredni trojanac za daljinski pristup koji koristi i JavaScript i .NET programsko okruženje za obavljanje zlonamjernih aktivnosti na inficiranim uređajima. Phishing kampanja se pripisuje zlonamjernom akteru Solar Spider koji ciljaja finansijske institucije u različitim regionima širom sveta. Najnovija verzija ovog zlonamjernog softvera koristi GitLab za skladištenje svojih korisnih tovara, što ga čini težim za otkrivanje i blokiranje. Na finansijske organizacije se apeluje da preduzmu odgovarajuće mjere za zaštitu od ovakvih prijetnji i da ostanu informisane o najnovijim trendovima u sajber bezbjednosti i najboljim praksama.

 

ZAŠTITA

Da bi se zaštitile od JSOutProx zlonamjernog softvera, finansijske institucije i pojedinci treba da preduzmu sljedeće mjere na osnovu datog konteksta:

  1. Koristiti napredni softver za zaštitu od neželjene pošte sa vještačkom inteligencijom (AI) i mogućnostima mašinskog učenja. Efikasna odbrana od phishing napada koji isporučuju JSOutProx zlonamjerni softver je rješenje za zaštitu od neželjene pošte koje je sposobno da analizira zaglavlja i sadržaj poruka kako bi identifikovala odstupanja od tipičnih poslovnih elektronskih poruka, kao i znakove phishing napada i isporuku zlonamjernog softvera na osnovu najnovijih podataka o prijetnjama,
  2. Da bi se identifikovali zlonamjerni prilozi, kao što su oni koji sadrže JSOutProx korisne tovare, rješenje za zaštitu od neželjene pošte treba da koristi tehnike analize njihovog ponašanj u izolovanom okruženju (eng. sandbox)  prije nego što im dozvoli da dođu do  sistema korisnika,
  3. Vršiti edukaciju zaposlenih i korisnika o važnosti prepoznavanja i prijavljivanja sumnjivih elektronskih poruka, posebno onih koji sadrže priloge ili linkove koji traže osjetljive informacije ili finansijske transakcije,
  4. Primjenjivati EMV (Europay, Mastercard i Visa) čip kartice i druge bezbjednosne metode kako bi se zaštitili od neovlaštenih transakcija sa karticama,
  5. Obezbijediti da su sve udaljene pristupne tačke u mreži pravilno zaštićene jakim lozinkama, autentifikacijom u više koraka (eng. multi-factor authentication – MFA) i šifrovanjem gdje je to moguće,
  6. Redovno pregledati aktivnosti naloga za bilo kakve neobične ili potencijalno lažne transakcije i odmah istražiti sve potencijalne prijetnje,
  7. Biti informisan o najnovijim obavještajnim podacima o prijetnjama. Biti u toku sa najnovijim kampanjama za krađu identiteta i trendovima zlonamjernog softvera prateći renomirane izvore vesti o sajber bezbjednosti i pratiti najbolje prakse za bezbjedno rukovanje elektronskom poštom,
  8. Korisnici koji koriste GitLab ili slične usluge treba da se uvjere da su ta spremišta propisno obezbijeđena i dostupna samo ovlašćenom osoblju i biti svjestan potencijalnih rizika povezanih sa skladištenjem zlonamjernih korisnih tovara na ovim platformama,
  9. Primjenjivati slojevit bezbjednosni pristup kroz kombinaciju softvera protiv neželjene pošte, zaštite krajnjih tačaka, zaštitnih zidova, sistema za otkrivanje upada i drugih bezbjednosnih mjera koje mogu pomoći u stvaranju robusne odbrane od različitih vrsta sajber prijetnji, uključujući JSOutProx zlonamjerni softver.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.