VISA mette in guardia da JsOutProx, il malware che prende di mira istituzioni finanziarie

Si diffonde tramite una campagna di phishing basata su messaggi e-mail contenenti avvisi di pagamento fasulli. Per ora è limitata al Sud-Est Asiatico e all'Africa, ma lo schema di azione è comune a quello di altre minacce
di Andrea Bai pubblicata il 05 Aprile 2024, alle 11:01 nel canale SicurezzaVisa
Visa ha lanciato un allarme riguardo a un preoccupante picco nel rilevamento di una nuova versione del malware JsOutProx, che sembra prendere di mira gli istituti finanziari e i loro clienti. In un avviso di sicurezza emesso dall'unità Payment Fraud Disruption di Visa e che è stato inviato a emittenti, processori e acquirenti di carte di credito, viene segnalata l'esistenza di una nuova campagna di phishing che ha preso di mira in particolare le istituzioni finanziare del Sud-Est asiatico, del Medio Oriente e dell'Africa e atta a distribuire JsOutProx a partire dal 27 marzo scorso.
Il malware JsOutProx, è stato notato per la prima volta a dicembre 2019. Si tratta di un trojan di accesso remoto (RAT) comprensivo di una backdoor JavaScript ad elevato grado di offuscamento e che permette a chi lo controlla di compiere un'ampio ventaglio di attività dannose come ad esempio l'esecuzione di comandi shell, il download di payload aggiuntivi, l'acquisizione di screenshot e il controllo della tastiera e del mouse dei dispositivi compromessi.
Visa non è riuscita a confermare quale possa essere l'obiettivo finale della campagna, ma suppone si possa trattare di un gruppo di criminali che in precedenza ha già condotto operazioni verso realtà finanziarie per compiere attività fraudolente.
Assieme all'avviso la società ha condiviso gli indicatori di compromissione per l'ultima campagna di JsOutProx e una serie di raccomandazioni per le possibili azioni di mitigazione e prevenzione da intraprendere.
La campagna è stata analizzata anche dalla società di sicurezza Resecurity, che spiega come l'ultima versione del malware sia frutto di un'evoluzione che ne ha migliorato in primis le capacità di evasione. L'ultima versione di JsOutProx fa inoltre uso di GitLab per ospitare i payload dannosi.
Resecurity ha osservato con attenzione gli attacchi effettuati contro clienti bancari, riscontrando la presenza di messaggi e-mail contenenti false notifiche di pagamento SWIFT o MoneyGram che sembrano provenire da istituti legittimi. All'interno delle e-mail vi sono archivi compressi in formato .zip che contengono file .js. Questi ultimi una volta eseguiti scaricano i payload dannosi di JsOutProx da un repository GitLab.

Al momento non è possibile operare un'attribuzione certa per l'ultima campagna di JsOutProx, anche se Resecuirty afferma che alcuni elementi, in particolare la sofisticazione degli attacchi, il profilo dei bersagli e la loro collocazione geografica, fa propendere per l'ipotesi che il malware sia gestito da attori di minaccia in area cinese. Le precedenti campagne di JsOutProx erano state collegate ad un gruppo noto con il nome di "Solar Spider".
L'episodio, per quanto al momento paia essere limitato ad una precisa area geografica, rappresenta comunque l'ennesimo esempio di come le campagne di phishing continuino ad essere un mezzo ampiamente utilizzato per la diffusione di malware e minacce informatiche e con l'avvento delle IA generative questo sarà ancor più vero. Si tratta di uno scenario particolarmente fosco per la sicurezza informatica, in quanto fino ad ora molte campagne di phishing hanno utilizzato messaggi che uno sguardo attento poteva facilmente riconoscere come fasulli: le IA generative daranno invece modo di realizzare "esche" molto più credibili, rendendo di fatto impossibile riconoscere una mail fasulla da una autentica.
1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infocosì uno ha un minimo di tempo di accorgersi
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".