Новый JsOutProx нацелен на финансовые учреждения в АТР и на Ближнем Востоке и использует Gitlab.

Исследователи компании Resecurity предупреждают о новой версии JsOutProx, нацеленной на финансовые учреждения в регионах Азиатско-Тихоокеанского и Ближнего Востока с использованием Gitlab.

Resecurity обнаружила новую версию JSOutProx, которая нацелена на финансовые услуги и организации в регионах Азиатско-Тихоокеанского и Ближнего Востока. JSOutProx - это сложная атакующая платформа, использующая как JavaScript, так и .NET. Он использует функцию (де)сериализации .NET для взаимодействия с основным модулем JavaScript, работающим на компьютере жертвы. После выполнения вредоносного кода позволяет платформе загружать различные плагины, которые осуществляют дополнительные злонамеренные действия по отношению к цели.

Этот вредоносный код впервые был обнаружен в 2019 году и изначально был связан с кампаниями фишинга SOLAR SPIDER, которые доставляли JSOutProx RAT в финансовые учреждения Африки, Ближнего Востока, Южной Азии и Юго-восточной Азии. Резкий рост активности был отмечен вокруг 8 февраля 2024 года, когда одна из крупных системных интеграторских компаний с базой в Королевстве Саудовская Аравия сообщила о инциденте, когда было совершено нападение на клиентов одного из крупных банков региона.

Resecurity помогла нескольким жертвам получить соответствующие фрагменты вредоносного кода, результатом работы в области цифровой криминалистики и реагирования на инциденты, а также помогла восстановить данные.

Обнаружение новой версии JSOutProx, а также злоупотребление платформами GitHub и GitLab подчеркивают неутомимые усилия и сложную последовательность действий этих злонамеренных акторов. С пятой годовщиной своего существования JSOutProx продолжает представлять серьезную и меняющуюся угрозу, особенно для клиентов финансовых учреждений. В пределах нарастающего объема, в этом году злоумышленники расширили свой охват на регион Ближнего Востока, тем самым увеличивая свою киберпреступную активность. Поскольку эти угрозы становятся все более сложными и широко распространенными, Resecurity остается бдительной в своем стремлении отслеживать JSOutProx и защищать финансовые учреждения и их клиентов по всему миру от таких коварных действий.

Дополнительные технические подробности доступны в отчете, опубликованном Resecurity по ссылке: https://www.resecurity.com/blog/article/the-new-version-of-jsoutprox-is-attacking-financial-institutions-in-apac-and-mena-via-gitlab-abuse.