06.04.2024 | Visa предупреждает: новый вирус JsOutProx атакует банки и их клиентов |
Visa предупредила о росте активности новой версии вредоносного ПО JsOutProx, нацеленного на финансовые учреждения и их клиентов. Кампания затронула учреждения Южной и Юго-Восточной Азии, Ближнего Востока и Африки. Новый троян удаленного доступа (Remote Access Trojan, RAT ) распространяется в рамках фишинговой кампании с 27 марта, как заявило издание BleepingComputer , ссылаясь на утверждения Подразделения по борьбе с мошенничеством в Visa (Payment Fraud Disruption, PFD). JsOutProx, впервые обнаруженный в декабре 2019 года, представляет собой сильно обфусцированный JavaScrip-бэкдор, который позволяет операторам запускать команды оболочки, загружать дополнительные полезные данные, выполнять файлы, делать снимки экрана, сохранять постоянство на зараженном устройстве, а также управлять клавиатурой и мышью. Цель кампании до конца не выяснена, однако предполагается, что злоумышленники могли нацелиться на финансовые учреждения с целью проведения мошеннических операций. Visa предложила ряд мер по смягчению последствий, включая повышение осведомленности о рисках фишинга, использование технологий EMV и безопасного приема платежей, защиту удаленного доступа и мониторинг подозрительных транзакций. Специалисты Resecurity в своем отчете раскрыли подробности фишинговой операции, отмечая, что вредоносное ПО эволюционировало, улучшая свою способность к уклонению от обнаружения и используя GitLab для хостинга своих загрузок.
Активность аккаунта хакера на GitLab Жертвам по электронной почте отправлялись поддельные уведомления от лица официальных учреждений с приложенными ZIP-архивами, содержащими JavaScript-файлы. При запуске файлов на компьютер загружается вредоносное ПО JsOutProx. Новая модификация вредоносного ПО включает в себя инструменты для изменения настроек прокси, управления DNS для перенаправления и маскировки трафика, кражи данных из буфера обмена и обхода двухфакторной аутентификации за счет кражи одноразовых паролей. Аналитики предполагают, что за атаками может стоять китайская группировка, учитывая сложность атак, профиль целей и их географическое положение. |
Проверить безопасность сайта