Visa ha emesso un avviso di sicurezza riguardante una nuova variante del malware JsOutProx, che sta prendendo di mira istituzioni finanziarie e i loro clienti, con un incremento delle rilevazioni di questo trojan di accesso remoto particolarmente pericoloso.
Panoramica dell’Attacco
La campagna di phishing distributiva di JsOutProx è stata segnalata per la prima volta il 27 marzo 2024, concentrando gli attacchi soprattutto in Asia meridionale e sudorientale, Medio Oriente e Africa. JsOutProx, noto dal dicembre 2019, è un trojan di accesso remoto (RAT) e un backdoor JavaScript altamente offuscato che consente agli operatori di eseguire comandi shell, scaricare payload aggiuntivi, eseguire file, catturare schermate, stabilire persistenza sul dispositivo infetto e controllare tastiera e mouse.
L’obiettivo finale di questa campagna malware non è stato confermato, ma si sospetta che possa essere legato ad attività fraudolente contro le istituzioni finanziarie.
Dettagli della campagna di Phishing
Un report dettagliato di Resecurity rivela che JsOutProx ha evoluto la sua tecnica per migliorare l’evasione, utilizzando piattaforme come GitLab per ospitare i suoi payload. Le vittime, in genere clienti di banche, ricevono email truffa che imitano istituzioni legittime, con false notifiche di pagamento SWIFT o MoneyGram.
Queste email includono archivi ZIP con file .js che, una volta eseguiti, scaricano i payload maligni di JsOutProx da un repository GitLab.
Capacità e impatto del Malware
JsOutProx può svolgere una vasta gamma di funzioni maligne, dalla manipolazione del traffico internet alla raccolta di dati sensibili come password e dettagli di contatto da Outlook. Può anche rubare One-Time Passwords (OTP) per bypassare le protezioni di autenticazione a due fattori.
Analisti di sicurezza suggeriscono con moderata confidenza che JsOutProx possa essere operato da attori minacciosi affiliati alla Cina, data la sofisticatezza degli attacchi, il profilo dei bersagli e la loro geografia.
Azioni di mitigazione consigliate
Visa consiglia alle organizzazioni colpite di aumentare la consapevolezza sui rischi di phishing, abilitare tecnologie di accettazione sicura come EMV, proteggere l’accesso remoto e monitorare transazioni sospette per mitigare l’impatto di questa minaccia.
Questa nuova ondata di attacchi JSOutProx sottolinea l’importanza di rimanere vigili e di adottare misure di sicurezza avanzate per proteggere le istituzioni finanziarie e i loro clienti da minacce sempre più sofisticate.