Se están registrando ataques en organizaciones financieras de Asia-Pacífico, Oriente Medio y Norte de África, a través de una versión reciente del malware JSOutProx. Según un informe técnico publicado por Resecurity, se trata de un marco de ataque avanzado que utiliza lenguajes como Javascript y .NET. El malware, una vez ejecutado, permite cargar varios plugins que realizan actividades maliciosas adicionales en el computador de la víctima.
Se cree que Solar Spider, un actor de amenazas, ha sido el responsable de distribuir JSOutProx y atacar bancos y empresas grandes de Asia y Europa y de la India. Desde abril de 2020, empresas gubernamentales indias también fueron víctimas.
Los ataques suelen iniciarse a través de correos electrónicos de spear phishing con archivos adjuntos JavaScript maliciosos, que aparentan ser archivos ZIP o PDF falsos, y que despliegan el implante altamente ofuscado y fraudulento. Los plugins permiten al malware capturar información importante del host, controlar la configuración del proxy, recopilar información de la cuenta de Microsoft Outlook, y acceder a contraseñas de uso único de Symantec VIP.
JSOutProx es también un RAT implementado en JavaScript, un troyano de acceso remoto utilizado en ataques a empleados de pequeños bancos financieros en la India.
Recientemente, Resecurity reportó que los ataques a través de JSOutProx han aumentado desde el 8 de febrero de 2024, utilizando notificaciones de pago falsas de SWIFT o MoneyGram para engañar a los destinatarios de correo electrónico. Los artefactos suelen alojarse en repositorios de GitHub y GitLab, que desde entonces han sido eliminados.
Los cibercriminales detrás de la amenaza son actualmente desconocidos, pero la distribución de la victimología de los ataques y la sofisticación del implante sugieren que el grupo podría tener su origen en China o estar afiliado a ella.
En otra nota relacionada, se ha promovido en la dark web un nuevo software llamado GEOBOX, que reutiliza dispositivos Raspberry Pi para realizar fraude y anonimización. Ofrecido por solo $80 al mes o $700 para una licencia perpetua, la herramienta permite a los operadores efectuar spoofing de las ubicaciones GPS, emulando configuraciones específicas de red y software, pasar por alto los filtros antifraude, e imitar la configuración de puntos de acceso Wi-Fi conocidos. Esto podría tener graves implicaciones de seguridad, ya que abre una puerta para una amplia gama de delitos, incluyendo ataques patrocinados por el estado, espionaje corporativo, propagación de malware y acceso a contenido geofenceado.
Los miembros de la comunidad de ciberseguridad están preocupados por la accesibilidad de GEOBOX, ya que permite una adopción generalizada entre diferentes actores y amenazas.
Vía The Hacker News