Visa met en garde contre un pic de détections pour une nouvelle version du malware JsOutProx ciblant les institutions financières et leurs clients.
Dans une alerte de sécurité de l’unité de perturbation de la fraude de paiement (PDF) de Visa vue par Breachtrace et envoyée aux émetteurs de cartes, aux processeurs et aux acquéreurs, Visa dit avoir pris connaissance d’une nouvelle campagne de phishing distribuant le cheval de Troie d’accès à distance le 27 mars 2024.
Cette campagne ciblait les institutions financières d’Asie du Sud et du Sud-Est, du Moyen-Orient et d’Afrique.
Rencontré pour la première fois en décembre 2019, JsOutProx est un cheval de Troie d’accès à distance (RAT) et une porte dérobée JavaScript hautement obscurcie qui permet à ses opérateurs d’exécuter des commandes shell, de télécharger des charges utiles supplémentaires, d’exécuter des fichiers, de capturer des captures d’écran, d’établir la persistance sur l’appareil infecté et de contrôler le clavier et la souris.
« Bien que PFD n’ait pas pu confirmer l’objectif ultime de la campagne de logiciels malveillants récemment identifiée, ce groupe d’eCrime a peut-être déjà ciblé des institutions financières pour mener des activités frauduleuses », lit-on dans l’alerte Visa vue par Breachtrace .
L’alerte fournit des indicateurs de compromission (IOC) liés à la dernière campagne et recommande plusieurs mesures d’atténuation, notamment la sensibilisation aux risques d’hameçonnage, l’activation des technologies d’acceptation EMV et sécurisées, la sécurisation de l’accès à distance et la surveillance des transactions suspectes.
La campagne de phishing
Un rapport connexe de Resecurity approfondit les détails de l’opération de phishing JSOutProx, expliquant que le logiciel malveillant a fait évoluer sa dernière version pour une meilleure évasion et utilise désormais GitLab pour héberger ses charges utiles.
Dans les attaques observées contre les clients bancaires, la resécurité a vu des notifications financières fabriquées envoyées aux cibles via des e-mails qui usurpent l’identité d’institutions légitimes, leur présentant de fausses notifications de paiement SWIFT ou MoneyGram.
Attachés aux courriels sont des archives ZIP contenant .fichiers js qui, une fois exécutés, téléchargent les charges utiles JSOutProx malveillantes à partir d’un référentiel GitLab.
La première étape de l’implant JSOutProx prend en charge une gamme de commandes qui permettent aux attaquants d’exécuter des fonctionnalités de base telles que la mise à jour, la gestion de son temps de sommeil pour une discrétion opérationnelle, l’exécution des processus et la sortie de l’implant si nécessaire.
La deuxième étape de l’implant introduit des plugins supplémentaires qui élargissent considérablement la gamme d’activités malveillantes que les attaquants peuvent effectuer et incluent les éléments suivants:
- Réglez la communication active et les opérations du RAT, lui permettant d’éviter la détection en restant en sommeil.
- Modifiez les paramètres de proxy pour la manipulation du trafic Internet et l’évasion des mesures de sécurité.
- Voler ou modifier le contenu du presse-papiers, accéder à des données sensibles comme des mots de passe.
- Ajustez les paramètres DNS pour rediriger le trafic, facilitant le phishing ou la communication furtive en C2.
- Extrayez les détails et les contacts d’Outlook pour d’éventuelles attaques de phishing ou propagation de logiciels malveillants.
- Contournez le contrôle de compte d’utilisateur et modifiez le registre pour un accès plus approfondi au système et le maintien de la persistance.
- Modifiez les paramètres DNS et proxy pour contrôler ou masquer le trafic Internet.
- Automatisez les activités malveillantes ou assurez la persistance en créant et en modifiant des fichiers de raccourcis.
- Récupérez et envoyez des données du système infecté à des attaquants, potentiellement pour des activités de vol d’informations ou de ransomware.
- Voler des mots de passe à usage unique (OTP) pour contourner les protections d’authentification à deux facteurs sur le compte cible.
La sécurité indique que les premières opérations de JSOutProx ont été attribuées à un acteur de la menace nommé « Solar Spider », mais il n’y a aucune attribution concrète pour la dernière campagne.
Sur la base de la sophistication des attaques, du profil des cibles et de leur géographie, les analystes estiment avec une confiance modérée que JSOutProx est exploité par des acteurs de la menace chinois ou affiliés à la Chine.