Новый JsOutProx нацелен на финансовые учреждения в АТР и на Ближнем Востоке и использует Gitlab. на ХатаМатате

Новый JsOutProx нацелен на финансовые учреждения в АТР и на Ближнем Востоке и использует Gitlab.

Исследователи компании Resecurity предупреждают о новой версии JsOutProx, нацеленной на финансовые учреждения в регионах Азиатско-Тихоокеанского и Ближнего Востока с использованием Gitlab.

Resecurity обнаружила новую версию JSOutProx, которая нацелена на финансовые услуги и организации в регионах Азиатско-Тихоокеанского и Ближнего Востока. JSOutProx - это сложная атакующая платформа, использующая как JavaScript, так и .NET. Он использует функцию (де)сериализации .NET для взаимодействия с основным модулем JavaScript, работающим на компьютере жертвы. После выполнения вредоносного кода позволяет платформе загружать различные плагины, которые осуществляют дополнительные злонамеренные действия по отношению к цели.

Этот вредоносный код впервые был обнаружен в 2019 году и изначально был связан с кампаниями фишинга SOLAR SPIDER, которые доставляли JSOutProx RAT в финансовые учреждения Африки, Ближнего Востока, Южной Азии и Юго-восточной Азии. Резкий рост активности был отмечен вокруг 8 февраля 2024 года, когда одна из крупных системных интеграторских компаний с базой в Королевстве Саудовская Аравия сообщила о инциденте, когда было совершено нападение на клиентов одного из крупных банков региона.

Resecurity помогла нескольким жертвам получить соответствующие фрагменты вредоносного кода, результатом работы в области цифровой криминалистики и реагирования на инциденты, а также помогла восстановить данные.

Рекомендуемые новости

Испанский парламент рассмотрит законопроект о предоставлении вида на жительство незаконным иммигрантам

12 мая

Испанский парламент рассмотрит законопроект о предоставлении статуса постоянного жителя для нелегальных иммигрантов

5 мая

Испанский парламент рассмотрит законопроект о предоставлении вида на жительство незаслуженно находящимся иммигрантам

16 мая

Trade Estates REIC: Объявление - Выборы нового инвестиционного комитета

12 мая

Жить в Сан-Франциско было для них очень дорого, поэтому они переехали в Испанию и купили прекрасный дом за 50 000 долларов. Вот их история

5 мая

Рекомендуемая недвижимость

Продажа квартиры в Неаполе 6 069 201 $

Италия,Неаполь

3 спальни

4 санузла

367 м²

Продажа квартиры в Неаполе 336 169 $

Италия,Неаполь

4 спальни

2 санузла

170 м²

Продажа дома в Неаполе 2 997 344 $

Италия,Неаполь

3 спальни

4 санузла

340 м²

Продажа дома в Неаполе 3 979 276 $

Италия,Неаполь

3 спальни

3 санузла

310 м²

Продажа дома в Неаполе 7 034 362 $

Италия,Неаполь

5 спален

6 санузлов

615 м²

Продажа дома в Неаполе 3 388 811 $

Италия,Неаполь

4 спальни

6 санузлов

444 м²

В самом последнем эпизоде, произошедшем 2 апреля 2024 года, были нацелены множество клиентов банков с помощью атаки под прикрытием. Злоумышленники использовали поддельное уведомление о платеже SWIFT (для корпоративных клиентов) и шаблон Moneygram (для частных клиентов), используя вводящие в заблуждение уведомления для запуска вредоносного кода.

Обнаружение новой версии JSOutProx, а также злоупотребление платформами GitHub и GitLab подчеркивают неутомимые усилия и сложную последовательность действий этих злонамеренных акторов. С пятой годовщиной своего существования JSOutProx продолжает представлять серьезную и меняющуюся угрозу, особенно для клиентов финансовых учреждений. В пределах нарастающего объема, в этом году злоумышленники расширили свой охват на регион Ближнего Востока, тем самым увеличивая свою киберпреступную активность. Поскольку эти угрозы становятся все более сложными и широко распространенными, Resecurity остается бдительной в своем стремлении отслеживать JSOutProx и защищать финансовые учреждения и их клиентов по всему миру от таких коварных действий.

Дополнительные технические подробности доступны в отчете, опубликованном Resecurity по ссылке: https://www.resecurity.com/blog/article/the-new-version-of-jsoutprox-is-attacking-financial-institutions-in-apac-and-mena-via-gitlab-abuse.