Nueva ola del malware JSOutProx se dirige a empresas financieras en APAC y MENA

0

Nueva ola del malware JSOutProx se está dirigiendo a empresas financieras en APAC y MENA

Las instituciones financieras en la región de Asia-Pacífico (APAC) y Medio Oriente y Norte de África (MENA) están siendo objeto de un nuevo tipo de amenaza llamada JSOutProx, que se está desarrollando rápidamente.

Según un informe técnico publicado recientemente por Resecurity, «JSOutProx es un sofisticado marco de ataque que combina JavaScript y .NET. Este malware utiliza la función de (des)serialización .NET para comunicarse con un módulo principal de JavaScript en la máquina de la víctima. Una vez que se ejecuta, JSOutProx permite cargar varios complementos que realizan actividades maliciosas adicionales en el objetivo».

Yoroi identificó por primera vez JSOutProx en diciembre de 2019. Se cree que los primeros ataques fueron llevados a cabo por Solar Spider, un actor de amenazas conocido por atacar bancos y grandes empresas en Asia y Europa.

En 2021, Quick Heal Security Labs informó sobre ataques que utilizaban un troyano de acceso remoto (RAT) para dirigirse a empleados de pequeños bancos en la India. Otras oleadas de ataques han tenido como objetivo a instituciones gubernamentales indias desde abril de 2020.

Los ataques de JSOutProx suelen comenzar con correos electrónicos de spear-phishing que contienen archivos JavaScript maliciosos, haciéndose pasar por documentos PDF o archivos ZIP. Estos archivos ejecutan un implante fuertemente ofuscado que se encarga de llevar a cabo las acciones maliciosas.

El malware cuenta con varios complementos que permiten la exfiltración de datos, operaciones en el sistema de archivos y otras acciones ofensivas. Además, puede obtener información del host comprometido, controlar la configuración del proxy, acceder a cuentas de Microsoft Outlook y recopilar contraseñas de un solo uso de Symantec VIP. JSOutProx también utiliza el campo de encabezado Cookie para las comunicaciones de control de comando (C2).

A pesar de ser un RAT completamente funcional implementado en JavaScript, JSOutProx tiene limitaciones en comparación con los archivos ejecutables tradicionales. Sin embargo, la popularidad de JavaScript en los sitios web hace que este tipo de malware pase desapercibido más fácilmente para los usuarios comunes y los sistemas de detección de antivirus.

Resecurity ha documentado recientemente una nueva ola de ataques que utilizan notificaciones de pago falsas de SWIFT o MoneyGram para engañar a las víctimas y ejecutar el código malicioso. Estos ataques han aumentado en frecuencia desde febrero de 2024.

Los artefactos de estos ataques han sido encontrados alojados en repositorios de GitHub y GitLab, aunque estos han sido bloqueados y eliminados rápidamente. Los atacantes suelen eliminar y recrear los repositorios para gestionar múltiples cargas maliciosas y diferenciar objetivos.

Aunque los orígenes exactos del grupo de cibercriminales detrás de JSOutProx aún son desconocidos, la distribución de los ataques y la complejidad del malware sugieren una posible conexión con China o grupos afiliados.

Este desarrollo se produce en un momento en que los criminales cibernéticos están promocionando en la dark web un nuevo software llamado GEOBOX, que utiliza dispositivos Raspberry Pi para llevar a cabo actividades fraudulentas y de anonimización.

GEOBOX, disponible por una tarifa mensual o de por vida, permite a los usuarios falsificar ubicaciones GPS, emular configuraciones de red y software, imitar puntos de acceso Wi-Fi conocidos y evitar filtros antifraude.

El fácil acceso a herramientas como GEOBOX plantea preocupaciones de seguridad debido a su potencial para facilitar una amplia gama de delitos, como ataques patrocinados por el estado, espionaje corporativo, fraude financiero y distribución de malware.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 661610005838513425 Nombre: Masterhacks LATAM Banco: Alternativos

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *