A Visa emitiu um alerta crítico sobre um aumento significativo na detecção de uma nova versão do malware JsOutProx, especificamente visando instituições financeiras e seus clientes. O alerta, emitido pela unidade Payment Fraud Disruption (PDF) da Visa, ressalta a gravidade do risco associado a esta campanha de phishing que distribui o trojan de acesso remoto, com detecções confirmadas em 27 de março de 2024.
Este ataque cibernético tem como alvo principal instituições localizadas no Sul e Sudeste Asiático, no Médio Oriente e em África, marcando uma preocupação global com a segurança de informações financeiras.
Descoberto pela primeira vez em dezembro de 2019, o JsOutProx é descrito como um trojan de acesso remoto (RAT) e backdoor JavaScript altamente ofuscado. Ele permite que seus operadores realizem uma série de atividades maliciosas, incluindo execução de comandos shell, download de cargas adicionais, execução de arquivos, captura de telas, estabelecimento de persistência em dispositivos infectados e controle do teclado e mouse. A natureza versátil e destrutiva deste malware sublinha a sua ameaça à segurança digital.
Embora o objetivo final dos atacantes permaneça incerto, a Visa suspeita que as instituições financeiras estejam sendo visadas para conduzir atividades fraudulentas. A comunicação da Visa inclui uma série de indicadores de comprometimento (IoCs) e recomenda ações de mitigação como aumentar a conscientização sobre os riscos de phishing, habilitar EMV e tecnologias de aceitação segura, proteger o acesso remoto e monitorar transações suspeitas.
Detalhes da campanha de phishing
Um relatório aprofundado da Resecurity detalha a operação de phishing envolvendo o JsOutProx, destacando a evolução do malware para melhor evasão. Curiosamente, o relatório aponta que o GitLab está sendo usado para hospedar suas cargas maliciosas, uma tática que complica a detecção e a interrupção dessas operações.
A estratégia de ataque inclui enviar e-mails forjados aos clientes bancários, aparentando ser de instituições legítimas, com notificações falsas de pagamento SWIFT ou MoneyGram. Esses e-mails contêm arquivos ZIP com arquivos .js que, uma vez executados, instalam as cargas maliciosas do JsOutProx.
Capacidades e estratégias do Malware
O JsOutProx se destaca pela sua capacidade de realizar uma ampla gama de atividades maliciosas através de dois estágios de implantação. No primeiro estágio, o malware permite aos invasores executar atualizações, gerenciar tempo de suspensão para discrição operacional, executar processos e sair do implante quando necessário. O segundo estágio introduz plug-ins adicionais que expandem significativamente as capacidades dos atacantes. Essas capacidades incluem a definição de comunicação e operações ativas do RAT, alteração das configurações de proxy, roubo ou alteração do conteúdo da área de transferência, ajuste das configurações de DNS para redirecionar o tráfego e a extração de detalhes do Outlook.
Os analistas associaram as primeiras operações do JsOutProx ao grupo de cibercriminosos ‘Solar Spider’, mas a campanha mais recente ainda não foi definitivamente atribuída. Contudo, com base na sofisticação dos ataques, perfil dos alvos e geografia, suspeita-se que o JsOutProx seja operado por agentes de ameaças chineses ou afiliados à China, conforme análise da Resecurity.
