JSSLoader

JSSLoader Beskrivelse

JSSLoader er en malware-trussel i første fase, der har til opgave at profilere de brudte systemer og implementere yderligere ondsindede nyttelast i angrebskæden. Truslen blev først opdaget af infosec-forskere hos Proofpoint tilbage i 2019, og siden da har den gennemgået en hurtig udvikling. Faktisk viser de nyeste versioner af JSSLoader, at truslen er blevet omskrevet fra sin originale .NET til programmeringssproget C ++ fuldstændigt. Selvom dette ikke er uhørt, er det stadig yderst usædvanligt at genskabe en hel malware-trussel til et nyt sprog. Det er mere end sandsynligt, at cyberkriminelle gjorde det for at forbedre chancerne for at undgå aktuelle opdagelser.

Bevis tyder på, at JSSLoader bliver indsat af et lille antal trusselsaktører. Mere specifikt siger forskere, at de har opdaget to hackergrupper ved hjælp af truslen, hvoraf den ene er gruppen TA543 APT (Advanced Persistent Threat). De nye C ++ - versioner af JSSLoader blev fundet som en del af en ny truende kampagne udført af gruppen. Serien af angreb er rettet mod en bred vifte af organisationer, der opererer i et bredt sæt industrisektorer - sundhedspleje, detailhandel, fremstilling, finansiering, uddannelse, transport og teknologi.

Angrebene har de samme karakteristika som de truende operationer, der involverer JSSLoader fra tilbage i 2019. Tusinder af agn-e-mails med korrupte links distribueres til potentielle ofre. E-mails spoofer typisk fakturaer og leveringsoplysninger fra populære virksomheder. Lokkebeskederne fra de seneste operationer er designet til at efterligne dem, der sendes af UPS. Linket inde i e-mailen fører til en side, der er vært for Keitaro TDS. Derefter fortsætter det med at downloade en Windows Scripting File (WSF), der er hostet på SharePoint. Efter udførelsen henter WSF et script i mellemfasen, der endelig downloader og indlæser C ++ - versionen af JSSLoader på det kompromitterede system.