國際金融發卡單位Visa 的支付詐欺阻斷單位 (Payment Fraud Disruption, PFD)在 2024 年 3 月 27 日發出安全警報,通知發卡銀行、處理商和相關單位警惕最新一波網路釣魚攻擊,目的在散布遠端存取木馬程式 JsOutProx。
此活動的目標是南亞、東南亞、中東和非洲的金融機構。
JsOutProx 是一種高度混淆的 JavaScript 後門,自 2019 年 12 月首次被發現。它能讓操控者在受感染裝置上執行 shell 命令、下載其他載荷、執行檔案、擷取螢幕截圖、建立持久性,以及控制鍵盤和滑鼠。
Visa 表示,雖然 PFD 無法確認這起最新發現的惡意軟體活動的最終目標,但過去這個網路犯罪集團曾瞄準金融機構進行詐欺活動。
此警報提供了與最新活動相關的入侵跡象 (IoC),並建議採取多項緩解措施,包括提升對網路釣魚風險的認知、啟用 EMV 和安全收單技術、確保遠端存取安全,以及監控可疑交易。
網路釣魚活動
Resecurity 的相關報告指出最新版本的 JSOutProx 升級了躲避技術,並利用 GitLab 來託管其載荷。
在針對銀行客戶的觀察攻擊中,Resecurity 發現攻擊者偽造金融通知郵件,冒充合法機構,向目標發送虛假的 SWIFT 或 MoneyGram 付款通知。
郵件附件是含有 .js 檔案的 ZIP 壓縮包,執行後會從 GitLab 存放庫下載惡意的 JSOutProx 載荷。
JSOutProx 的第一階段載荷支援一系列命令,讓攻擊者執行基本功能,如更新自身、管理休眠時間以避免被發現、執行程序,以及在必要時退出。
第二階段載荷增加了更多惡意外掛程式,大幅擴展了攻擊者可執行的惡意活動,包括:
- 設定 RAT 的通訊和操作模式,以隱藏其存在避免被偵測。
- 變更代理設定以操縱流量並規避安全措施。
- 竊取或修改剪貼簿內容,存取如密碼等敏感資料。
- 調整 DNS 設定以重新導向流量,輔助網路釣魚或隱藏 C2 通訊。
- 從 Outlook 抽取詳細資訊和聯絡人,以進行網路釣魚或散布惡意軟體。
- 繞過 UAC 並修改登錄表,獲取更深層的系統存取權和持久性。
- 調整 DNS 和代理設定以控制或disguise 網際網路流量。
- 自動化惡意活動或建立快捷方式確保持久性。
- 從受感染系統回收並傳送資料,可能用於資訊竊取或勒索軟體活動。
- 竊取一次性密碼 (OTP) 來繞過目標帳號的雙重認證保護。
Resecurity 表示,早期的 JSOutProx 活動被歸因於一個名為「Solar Spider」的威脅行動者,但最新活動尚無明確歸因。
根據目前攻擊的複雜程度、目標的特徵以及地理位置,分析人員中度確信這些活動由中國或與中國相關的威脅行動者所主導。
本文轉載自bleepingcomputer。