Η Resecurity έχει ανιχνεύσει μια νέα έκδοση του JSOutProx RAT, η οποία στοχεύει χρηματοοικονομικές υπηρεσίες και οικονομικά ιδρύματα στις περιοχές της APAC και της MENA. Το JSOutProx είναι ένα εξελιγμένο πλαίσιο επίθεσης που χρησιμοποιεί τόσο JavaScript όσο και το .NET. Χρησιμοποιεί το χαρακτηριστικό (de)serializatio του .NET για να αλληλεπιδρά με ένα πυρήνα JavaScript που εκτελείται στo μηχάνημα του θύματος.

Δείτε επίσης: Ρωσία: Το Konni RAT διαδίδεται από το λογισμικό της κυβέρνησης

Μόλις εκτελεστεί, ο κακόβουλος κώδικας ενεργοποιεί το πλαίσιο εργασίας να φορτώσει διάφορα πρόσθετα, τα οποία εκτελούν επιπλέον κακόβουλες δραστηριότητες στο στόχο. Αυτό το κακόβουλο λογισμικό εντοπίστηκε για πρώτη φορά το 2019 και αρχικά αποδόθηκε στις καμπάνιες phishing του SOLAR SPIDER, οι οποίες μεταφέραν το JSOutProx RAT σε οικονομικά ιδρύματα σε ολόκληρη την Αφρική, τη Μέση Ανατολή, τη Νότια Ασία και τη Νοτιοανατολική Ασία.

Aυτή η δραστηριότητα εντοπίστηκε γύρω στις 8 Φεβρουαρίου 2024, όταν ένας μεγάλος ενοποιητής συστημάτων με έδρα το Βασίλειο της Σαουδικής Αραβίας ανέφερε ένα περιστατικό που στόχευε πελάτες μίας από τις μεγαλύτερες τράπεζες στην περιοχή. Η ReSecurity βοήθησε πολλά θύματα να αποκτήσουν σχετικούς κακόβουλους κώδικες ως αποτέλεσμα συμμετοχής σε Digital Forensics & Incident Response και βοήθησε στην ανάκτηση του φορτίου.

Δείτε ακόμα: Το Remcos RAT διανέμεται μέσω παιχνιδιών για ενήλικες

Στο πιο πρόσφατο επεισόδιο στις 2 Απριλίου 2024, πολλοί πελάτες τραπεζών στοχεύτηκαν μέσω μιας επίθεσης υποκλοπής ταυτότητας. Οι δράστες χρησιμοποίησαν μια πλαστή ειδοποίηση πληρωμής SWIFT (για επιχειρηματικούς πελάτες) και ένα πρότυπο Moneygram (για ιδιωτικούς πελάτες), χρησιμοποιώντας παραπλανητικές ειδοποιήσεις για να μπερδέψουν τα θύματα και να εκτελέσουν κακόβουλο κώδικα.

Η ανακάλυψη της νέας έκδοσης του JSOutProx RAT, σε συνδυασμό με την εκμετάλλευση πλατφορμών όπως το GitHub και το GitLab, υπογραμμίζει τις ανελέητες προσπάθειες και την εξελιγμένη συνέπεια αυτών των κακόβουλων δραστών. Σηματοδοτώντας την 5η επέτειό του, το JSOutProx RAT συνεχίζει να αποτελεί μια σημαντική και εξελισσόμενη απειλή

, ιδίως για τους πελάτες των οικονομικών ιδρυμάτων. Με ανησυχητική διεύρυνση του πεδίου εφαρμογής, φέτος οι δράστες επεκτείνουν τους ορίζοντές τους προς την περιοχή της Μέσης Ανατολής, ενισχύοντας έτσι το κυβερνοεγκληματικό τους αποτύπωμα. Καθώς αυξάνονται οι απειλές σε πολυπλοκότητα και εμβέλεια, η Resecurity παραμένει σε εγρήγορση στη διώξη του JSOutProx RAT και στη διασφάλιση των χρηματοπιστωτικών ιδρυμάτων και των πελατών τους παγκοσμίως από τέτοιες κακόβουλες δραστηριότητες.

Δείτε επίσης: Νέα phishing καμπάνια στοχεύει τις ΗΠΑ με το NetSupport RAT

Τα Remote Access Trojans (RAT), όπως το JSOutProx είναι είδος κακόβουλου λογισμικού που επιτρέπει στον εισβολέα να αποκτήσει απομακρυσμένη πρόσβαση σε έναν υπολογιστή. Αυτό επιτυγχάνεται μέσω της εγκατάστασης του RAT στον στόχο χωρίς τη γνώση του χρήστη. Μόλις εγκατασταθεί, το RAT μπορεί να εκτελέσει ποικίλες λειτουργίες, όπως καταγραφή πληκτρολογήσεων, λήψη στιγμιότυπων οθόνης, εγκατάσταση άλλου κακόβουλου λογισμικού, η αλλαγή των ρυθμίσεων του συστήματος και πρόσβαση σε προσωπικά αρχεία. Τα RATs συχνά διαδίδονται μέσω συνδέσμων ή συνημμένων σε φαινομενικά ακίνδυνα μηνύματα ηλεκτρονικού ταχυδρομείου ή μηνύματα άμεσης ανταλλαγής μηνυμάτων. Μπορεί επίσης να είναι κρυμμένα σε λογισμικό που φαίνεται νόμιμο. Η χρήση ενημερωμένου λογισμικού ασφαλείας, η αποφυγή των ύποπτων συνδέσμων και συνημμένων και η διατήρηση ενημερωμένων εφαρμογών και λειτουργικού συστήματος μπορεί να βοηθήσει στην προστασία από τα RATs.

Πηγή: securityaffairs