Investigadores de ciberseguridad han descubierto una nueva versión del malware JSOutProx, una sofisticada herramienta de ataque diseñada para apuntar a organizaciones financieras en las regiones de Asia-Pacífico (APAC) y Medio Oriente-Norte de África (MENA). Identificado por primera vez en 2019, JSOutProx combina funcionalidades de JavaScript y .NET para infiltrarse en los sistemas. Este malware explota la función de (des)serialización de .NET para comunicarse con un módulo JavaScript en la máquina de la víctima, lo que permite la ejecución de diversas actividades maliciosas. En particular, el equipo de Resecurity detectó un aumento en la actividad de JSOutProx el 8 de febrero de 2024, coincidiendo con un incidente reportado en un importante integrador de sistemas de Arabia Saudita dirigido a los clientes de un banco regional. Las víctimas fueron atraídas a través de correos electrónicos de phishing que se hacían pasar por entidades legítimas, como el uso de una notificación de pago SWIFT falsa. La reseguridad ayudó a recuperar artefactos de código malicioso e identificar los vectores de ataque. Según un aviso publicado por la empresa de ciberseguridad el miércoles, la mayoría de las cargas útiles maliciosas estaban alojadas en repositorios de GitHub, y algunas de ellas fueron reportadas por primera vez por investigadores independientes en noviembre de 2023. Los creadores del malware, Solar Spider, ahora emplean técnicas de enmascaramiento que disfrazan el código como Archivos PDF (en lugar de código JS). Lea más sobre malware similar: PDF Malware on the Rise, Used to Spread WikiLoader, Ursnif y DarkGate Los hallazgos recientes de Resecurity también indican un cambio hacia el uso de GitLab en lugar de GitHub en la cadena de infección del malware, con actores que registran cuentas para implementar repositorios que contienen cargas útiles maliciosas. La arquitectura modular del malware le permite ejecutar varios comandos, incluida la captura de capturas de pantalla y el control de archivos del sistema. La última campaña también se dirigió a instituciones gubernamentales y financieras de varios países, lo que sugiere una operación sofisticada con implicaciones geopolíticas. Con la creciente sofisticación y el desarrollo continuo del malware, existe una confianza moderada en que pueda originarse o tener afiliaciones con actores en China. Resecurity dijo que su equipo ha interrumpido activamente estas campañas, colaborando con los operadores de plataformas para desactivar los servidores de comando y control (C2). A pesar de los esfuerzos por frustrar estos ataques, JSOutProx sigue siendo una amenaza persistente y en evolución. «El descubrimiento de la nueva versión de JSOutProx, junto con la explotación de plataformas como GitHub y GitLab, enfatiza los esfuerzos incansables y la consistencia sofisticada de estos actores maliciosos», se lee en el aviso. «Este año, en una preocupante expansión de su alcance, estos actores de amenazas han ampliado sus horizontes en la región MENA, intensificando su huella cibercriminal». Los hallazgos de la investigación y los indicadores de compromiso asociados con las recientes campañas de JSOutProx subrayan la urgencia de mejorar las medidas de ciberseguridad y los esfuerzos de colaboración para combatir eficazmente las ciberamenazas en evolución. Crédito de la imagen: rafapress/Shutterstock.com

Source link