VISA mette in guardia da JsOutProx, il malware che prende di mira istituzioni finanziarie

VISA mette in guardia da JsOutProx, il malware che prende di mira istituzioni finanziarie

Si diffonde tramite una campagna di phishing basata su messaggi e-mail contenenti avvisi di pagamento fasulli. Per ora è limitata al Sud-Est Asiatico e all'Africa, ma lo schema di azione è comune a quello di altre minacce

di pubblicata il , alle 11:01 nel canale Sicurezza
Visa
 

Visa ha lanciato un allarme riguardo a un preoccupante picco nel rilevamento di una nuova versione del malware JsOutProx, che sembra prendere di mira gli istituti finanziari e i loro clienti. In un avviso di sicurezza emesso dall'unità Payment Fraud Disruption di Visa e che è stato inviato a emittenti, processori e acquirenti di carte di credito, viene segnalata l'esistenza di una nuova campagna di phishing che ha preso di mira in particolare le istituzioni finanziare del Sud-Est asiatico, del Medio Oriente e dell'Africa e atta a distribuire JsOutProx a partire dal 27 marzo scorso.

Il malware JsOutProx, è stato notato per la prima volta a dicembre 2019. Si tratta di un trojan di accesso remoto (RAT) comprensivo di una backdoor JavaScript ad elevato grado di offuscamento e che permette a chi lo controlla di compiere un'ampio ventaglio di attività dannose come ad esempio l'esecuzione di comandi shell, il download di payload aggiuntivi, l'acquisizione di screenshot e il controllo della tastiera e del mouse dei dispositivi compromessi.

Visa non è riuscita a confermare quale possa essere l'obiettivo finale della campagna, ma suppone si possa trattare di un gruppo di criminali che in precedenza ha già condotto operazioni verso realtà finanziarie per compiere attività fraudolente.

Assieme all'avviso la società ha condiviso gli indicatori di compromissione per l'ultima campagna di JsOutProx e una serie di raccomandazioni per le possibili azioni di mitigazione e prevenzione da intraprendere.

La campagna è stata analizzata anche dalla società di sicurezza Resecurity, che spiega come l'ultima versione del malware sia frutto di un'evoluzione che ne ha migliorato in primis le capacità di evasione. L'ultima versione di JsOutProx fa inoltre uso di GitLab per ospitare i payload dannosi.

Resecurity ha osservato con attenzione gli attacchi effettuati contro clienti bancari, riscontrando la presenza di messaggi e-mail contenenti false notifiche di pagamento SWIFT o MoneyGram che sembrano provenire da istituti legittimi. All'interno delle e-mail vi sono archivi compressi in formato .zip che contengono file .js. Questi ultimi una volta eseguiti scaricano i payload dannosi di JsOutProx da un repository GitLab.

Nella prima fase della compromissione JsOutProx si affida ad una serie di comandi che permettono agli aggressori di eseguire funzionalità di base come l'aggiornamento, la gestione del tempo di sospensione, l'esecuzione di processi e la chiusura delle operazioni.

Al momento non è possibile operare un'attribuzione certa per l'ultima campagna di JsOutProx, anche se Resecuirty afferma che alcuni elementi, in particolare la sofisticazione degli attacchi, il profilo dei bersagli e la loro collocazione geografica, fa propendere per l'ipotesi che il malware sia gestito da attori di minaccia in area cinese. Le precedenti campagne di JsOutProx erano state collegate ad un gruppo noto con il nome di "Solar Spider".

L'episodio, per quanto al momento paia essere limitato ad una precisa area geografica, rappresenta comunque l'ennesimo esempio di come le campagne di phishing continuino ad essere un mezzo ampiamente utilizzato per la diffusione di malware e minacce informatiche e con l'avvento delle IA generative questo sarà ancor più vero. Si tratta di uno scenario particolarmente fosco per la sicurezza informatica, in quanto fino ad ora molte campagne di phishing hanno utilizzato messaggi che uno sguardo attento poteva facilmente riconoscere come fasulli: le IA generative daranno invece modo di realizzare "esche" molto più credibili, rendendo di fatto impossibile riconoscere una mail fasulla da una autentica.

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
djfix1305 Aprile 2024, 17:14 #1
ma i firewall non si accorgono che c'è una comunicazione diretta a questi repository? non c'è un blacklist aggiornata? mettere un alert sull'esecuzione di codice .JS indipendente?
così uno ha un minimo di tempo di accorgersi

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^