Visa предупредила о росте активности новой версии вредоносного ПО JsOutProx, нацеленного на финансовые учреждения и их клиентов.
Новый троян удаленного доступа (Remote Access Trojan, ” data-html=”true” data-original-title=”RAT” >RAT) распространяется в рамках фишинговой кампании с 27 марта, как заявилоиздание BleepingComputer, ссылаясь на утверждения Подразделения по борьбе с мошенничеством в Visa (Payment Fraud Disruption, PFD).
Кампания затронула учреждения Южной и Юго-Восточной Азии, Ближнего Востока и Африки. JsOutProx, впервые выявленный в декабре 2019 года, обладает возможностями управления командной строкой, загрузки дополнительных компонентов, захвата экрана, установки на устройстве и контроля за клавиатурой и мышью.
Цель кампании до конца не выяснена, однако предполагается, что злоумышленники могли нацелиться на финансовые учреждения с целью проведения мошеннических операций. Visa предложила ряд мер по смягчению последствий, включая повышение осведомленности о рисках фишинга, использование технологий EMV и безопасного приема платежей, защиту удаленного доступа и мониторинг подозрительных транзакций.
Специалисты Resecurity в своем отчете раскрыли подробности фишинговой операции, отмечая, что вредоносное ПО эволюционировало, улучшая свою способность к уклонению от обнаружения и используя GitLab для хостинга своих загрузок.
Активность аккаунта хакера на GitLab
Жертвам по электронной почте отправлялись поддельные уведомления от лица официальных учреждений с приложенными ZIP-архивами, содержащими JavaScript-файлы. При запуске файлов на компьютер загружается вредоносное ПО JsOutProx.
Новая модификация вредоносного ПО включает в себя инструменты для изменения настроек прокси, управления DNS для перенаправления трафика, кражи данных из буфера обмена и обхода двухфакторной аутентификации за счет кражи одноразовых паролей. Аналитики предполагают, что за атаками может стоять китайская группировка, учитывая сложность атак, профиль целей и их географическое положение.