Home Sociedad El nuevo malware JSOutProx apunta a empresas financieras en APAC y MENA

El nuevo malware JSOutProx apunta a empresas financieras en APAC y MENA

Investigadores de ciberseguridad han descubierto una nueva versión del malware JSOutProx, una sofisticada herramienta de ataque diseñada para apuntar a organizaciones financieras en las regiones de Asia-Pacífico (APAC) y Medio Oriente-Norte de África (MENA).

Identificado por primera vez en 2019, JSOutProx combina funcionalidades de JavaScript y .NET para infiltrarse en los sistemas. Este malware aprovecha la función de (des)serialización de .NET para comunicarse con un módulo JavaScript en la máquina de la víctima, lo que permite la ejecución de diversas actividades maliciosas.

En particular, el equipo de Resecurity detectó un aumento en la actividad de JSOutProx el 8 de febrero de 2024, coincidiendo con un incidente reportado en un importante integrador de sistemas de Arabia Saudita dirigido a los clientes de un banco regional.

Las víctimas fueron atraídas a través de correos electrónicos de phishing que se hacían pasar por entidades legítimas, como el uso de una notificación de pago SWIFT falsa. La reseguridad ayudó a recuperar artefactos de código malicioso e identificar los vectores de ataque.

Según un aviso publicado por la empresa de ciberseguridad el miércoles, la mayoría de las cargas útiles maliciosas estaban alojadas en repositorios de GitHub, y algunas de ellas fueron reportadas por primera vez por investigadores independientes en noviembre de 2023. Los creadores del malware, Solar Spider, ahora emplean técnicas de enmascaramiento que disfrazan el código como Archivos PDF (en lugar de código JS).

Los hallazgos recientes de Resecurity también indican un cambio hacia el uso de GitLab en lugar de GitHub en la cadena de infección del malware, con actores que registran cuentas para implementar repositorios que contienen cargas útiles maliciosas. La arquitectura modular del malware le permite ejecutar varios comandos, incluida la captura de capturas de pantalla y el control de archivos del sistema.

La última campaña también se dirigió a instituciones gubernamentales y financieras de varios países, lo que sugiere una operación sofisticada con implicaciones geopolíticas. Con la creciente sofisticación y el desarrollo continuo del malware, existe una confianza moderada en que pueda originarse o tener afiliaciones con actores en China.

Resecurity dijo que su equipo ha interrumpido activamente estas campañas, colaborando con los operadores de plataformas para derribar servidores de comando y control (C2). A pesar de los esfuerzos por frustrar estos ataques, JSOutProx sigue siendo una amenaza persistente y en evolución.