سازمانهای مالی در منطقه آسیا و اقیانوسیه (APAC) و خاورمیانه و شمال آفریقا (MENA) هدف نسخه جدیدی از بدافزار در حال تکامل به نام JSOutProx قرار گرفتهاند.
در گزارش فنی شرکت Resecurity ذکر شده است که JSOutProx یک چارچوب حمله پیچیده بدافزاری است که از جاوا اسکریپت و .NET استفاده میکند. این بدافزار از ویژگی deserialization و serialization در .NET برای ارتباط با ماژول جاوا اسکریپت اصلی که بر روی دستگاه قربانی اجرا میشود، استفاده میکند. پس از اجرا، بدافزار به چارچوب اجازه میدهد تا افزونههای مختلفی را بارگذاری کند که فعالیتهای مخرب بیشتری را بر روی هدف انجام میدهند.
براساس اطلاعات موجود، این بدافزار برای اولینبار در دسامبر ۲۰۱۹ شناسایی شد که سابقه هدف قرار دادن بانکها و سایر شرکتهای بزرگ در آسیا و اروپا را دارد.
در اواخر ۲۰۲۱، آزمایشگاههای امنیتی Quick Heal شاهد حملات با استفاده از تروجان دسترسی از راه دور (RAT) براساس JSOutProx بودند که کارکنان بانکهای مالی کوچک در هند را هدف قرار داده بود. موجهای دیگری از این کمپین نیز پیش از ماه آوریل سال ۲۰۲۰، نهادهای دولتی هندی را هدف قرار داده بود.
این بدافزار از جاوا اسکریپت به شکل ماهرانهای استفاده میکند که به آن اجازه میدهد از بسیاری از برنامههای ضد ویروس به دلیل پنهانسازی و ظاهر معمولاً بیضررش فرار کند.
به گفته محققان، حملات اخیر نیز به نظر میرسد که از ایمیلهای فیشینگ با اعلانهای مالی جعلی برای توزیع JSOutProx استفاده کردهاند که در GitHub و GitLab میزبانی میشوند.
توضیحات بیشتر:
- New Wave of JSOutProx Malware Targeting Financial Firms in APAC and MENA