05 de abril de 2024Sala de prensaCiberespionaje/Ciberseguridad Las organizaciones financieras de Asia-Pacífico (APAC) y Medio Oriente y África del Norte (MENA) están siendo atacadas por una nueva versión de una «amenaza en evolución» llamada JSOutProx. «JSOutProx es un marco de ataque sofisticado que utiliza tanto JavaScript como .NET», dijo Resecurity en un informe técnico publicado esta semana. «Emplea la función de (des)serialización .NET para interactuar con un módulo JavaScript central que se ejecuta en la máquina de la víctima. Una vez ejecutado, el malware permite que el marco cargue varios complementos, que realizan actividades maliciosas adicionales en el objetivo». Identificados por primera vez en diciembre de 2019 por Yoroi, los primeros ataques que distribuyen JSOutProx se han atribuido a un actor de amenazas rastreado como Solar Spider. El historial de operaciones de bancos en huelga y otras grandes empresas en Asia y Europa. A finales de 2021, Quick Heal Security Labs detalló ataques que aprovechaban el troyano de acceso remoto (RAT) para identificar a empleados de pequeños bancos financieros de la India. Otras oleadas de campañas han apuntado a establecimientos gubernamentales indios ya en abril de 2020. Se sabe que las cadenas de ataques aprovechan los correos electrónicos de phishing con archivos adjuntos de JavaScript maliciosos disfrazados de archivos PDF y ZIP que contienen archivos HTA maliciosos para implementar el implante altamente ofuscado. «Este malware tiene varios complementos para realizar diversas operaciones, como la filtración de datos y la realización de operaciones del sistema de archivos», señaló Quick Heal. [PDF] En el momento. «Aparte de eso, también tiene varios métodos con capacidades ofensivas que realizan diversas operaciones». Los complementos le permiten recopilar una amplia gama de información del host comprometido, controlar la configuración del proxy, capturar el contenido del portapapeles, acceder a los detalles de la cuenta de Microsoft Outlook y recopilar contraseñas de un solo uso de Symantec VIP. Una característica única del malware es el uso del campo de encabezado Cookie para comunicaciones de comando y control (C2). JSOutProx también representa el hecho de que es un RAT completamente funcional implementado en JavaScript. «JavaScript simplemente no ofrece tanta flexibilidad como un archivo PE», dijo Fortinet FortiGuard Labs en un informe publicado en diciembre de 2020, que describe una campaña dirigida contra los sectores monetario y financiero gubernamental en Asia. «Sin embargo, como muchos sitios web utilizan JavaScript, a la mayoría de los usuarios les parece benigno, ya que a las personas con conocimientos básicos de seguridad se les enseña a evitar abrir archivos adjuntos que terminen en .exe. Además, debido a que el código JavaScript se puede ofuscar, fácilmente evita el antivirus. detección, permitiéndole filtrarse sin ser detectado». El último conjunto de ataques documentados por Resecurity implica el uso de notificaciones de pago SWIFT o MoneyGram falsas para engañar a los destinatarios de correo electrónico para que ejecuten el código malicioso. Se dice que la actividad experimentó un aumento a partir del 8 de febrero de 2024. Los artefactos se observaron alojados en los repositorios de GitHub y GitLab, que desde entonces han sido bloqueados y eliminados. «Una vez que el código malicioso se ha entregado con éxito, el actor elimina el repositorio y crea uno nuevo», dijo la empresa de ciberseguridad. «Esta táctica probablemente esté relacionada con el uso que hace el actor para gestionar múltiples cargas útiles maliciosas y diferenciar objetivos». Actualmente se desconocen los orígenes exactos del grupo de delitos electrónicos detrás del malware, aunque la distribución victimológica de los ataques y la sofisticación del implante alude a que se originaron en China o estaban afiliados a ella, postuló Resecurity. El desarrollo se produce cuando los ciberdelincuentes están promocionando en la web oscura un nuevo software llamado GEOBOX que reutiliza los dispositivos Raspberry Pi para realizar fraude y anonimización. Ofrecida por solo $ 80 por mes (o $ 700 por una licencia de por vida), la herramienta permite a los operadores falsificar ubicaciones GPS, emular configuraciones específicas de red y software, imitar configuraciones de puntos de acceso Wi-Fi conocidos y evitar filtros antifraude. . Estas herramientas podrían tener graves implicaciones para la seguridad, ya que abren la puerta a un amplio espectro de delitos como ataques patrocinados por el Estado, espionaje corporativo, operaciones en el mercado de la web oscura, fraude financiero, distribución anónima de malware e incluso acceso a contenido geocercado. «La facilidad de acceso a GEOBOX genera importantes preocupaciones dentro de la comunidad de ciberseguridad sobre su potencial para una adopción generalizada entre varios actores de amenazas», dijo Resecurity. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link