Новый JsOutProx нацелен на финансовые учреждения в АТР и на Ближнем Востоке и использует Gitlab.

Исследователи компании Resecurity предупреждают о новой версии JsOutProx, нацеленной на финансовые учреждения в регионах Азиатско-Тихоокеанского и Ближнего Востока с использованием Gitlab.

Resecurity обнаружила новую версию JSOutProx, которая нацелена на финансовые услуги и организации в регионах Азиатско-Тихоокеанского и Ближнего Востока. JSOutProx - это сложная атакующая платформа, использующая как JavaScript, так и .NET. Он использует функцию (де)сериализации .NET для взаимодействия с основным модулем JavaScript, работающим на компьютере жертвы. После выполнения вредоносного кода позволяет платформе загружать различные плагины, которые осуществляют дополнительные злонамеренные действия по отношению к цели.

Этот вредоносный код впервые был обнаружен в 2019 году и изначально был связан с кампаниями фишинга SOLAR SPIDER, которые доставляли JSOutProx RAT в финансовые учреждения Африки, Ближнего Востока, Южной Азии и Юго-восточной Азии. Резкий рост активности был отмечен вокруг 8 февраля 2024 года, когда одна из крупных системных интеграторских компаний с базой в Королевстве Саудовская Аравия сообщила о инциденте, когда было совершено нападение на клиентов одного из крупных банков региона.

Resecurity помогла нескольким жертвам получить соответствующие фрагменты вредоносного кода, результатом работы в области цифровой криминалистики и реагирования на инциденты, а также помогла восстановить данные.

Рекомендуемые новости

Пиньятаро, миллиарды и тайны Болонского в интернете с Amazon, Microsoft и 50 центробанками

сегодня 03:53

За пределами решения с двумя государствами.

сегодня 02:28

Расследование: Илья Гамбашидзе - обвиняемый в управлении кремлевской дезинформационной кампанией правительством США.

сегодня 02:13

Протестующие блокируют главное здание суда Болгарии и выступают против коррупции

сегодня 23:55

Ремонт роскошного дома в Испании может увеличить его цену на 65%

сегодня 01:22

Рекомендуемая недвижимость

Продажа дома в Неаполе 3 456 276,00 $

Италия,Неаполь

4 спальни

5 санузлов

278 м²

Аренда дома в Неаполе 11 846,00 $

Италия,Неаполь

3 спальни

2 санузла

179 м²

Аренда дома в Неаполе 40 804,00 $

Италия,Неаполь

3 спальни

6 санузлов

368 м²

Продажа дома в Неаполе 5 928 892,00 $

Италия,Неаполь

5 спален

6 санузлов

794 м²

Продажа дома в Неаполе 1 478 400,00 $

Италия,Неаполь

5 спален

6 санузлов

315 м²

Продажа квартиры в Неаполе 1 483 353,00 $

Италия,Неаполь

2 спальни

3 санузла

149 м²

В самом последнем эпизоде, произошедшем 2 апреля 2024 года, были нацелены множество клиентов банков с помощью атаки под прикрытием. Злоумышленники использовали поддельное уведомление о платеже SWIFT (для корпоративных клиентов) и шаблон Moneygram (для частных клиентов), используя вводящие в заблуждение уведомления для запуска вредоносного кода.

Обнаружение новой версии JSOutProx, а также злоупотребление платформами GitHub и GitLab подчеркивают неутомимые усилия и сложную последовательность действий этих злонамеренных акторов. С пятой годовщиной своего существования JSOutProx продолжает представлять серьезную и меняющуюся угрозу, особенно для клиентов финансовых учреждений. В пределах нарастающего объема, в этом году злоумышленники расширили свой охват на регион Ближнего Востока, тем самым увеличивая свою киберпреступную активность. Поскольку эти угрозы становятся все более сложными и широко распространенными, Resecurity остается бдительной в своем стремлении отслеживать JSOutProx и защищать финансовые учреждения и их клиентов по всему миру от таких коварных действий.

Дополнительные технические подробности доступны в отчете, опубликованном Resecurity по ссылке: https://www.resecurity.com/blog/article/the-new-version-of-jsoutprox-is-attacking-financial-institutions-in-apac-and-mena-via-gitlab-abuse.