JSSLoader

JSLoader एक प्रारंभिक चरण का मैलवेयर खतरा है, जो भंग सिस्टम की रूपरेखा तैयार करने और हमले की श्रृंखला में अतिरिक्त दुर्भावनापूर्ण पेलोड को तैनात करने का काम करता है। खतरे का पता पहली बार 2019 में प्रूफपॉइंट में इन्फोसेक शोधकर्ताओं द्वारा लगाया गया था और तब से इसका तेजी से विकास हुआ है। वास्तव में, JSLoader के नवीनतम संस्करण दिखाते हैं कि खतरे को उसके मूल .NET से C++ प्रोग्रामिंग भाषा में पूरी तरह से फिर से लिखा गया है। हालांकि यह अनसुना नहीं है, एक नई भाषा में एक संपूर्ण मैलवेयर खतरे को फिर से बनाना अभी भी बेहद असामान्य है। यह संभावना से कहीं अधिक है कि साइबर अपराधियों ने मौजूदा पहचान से बचने की संभावनाओं को बेहतर बनाने के लिए ऐसा किया।

साक्ष्य बताते हैं कि जेएसएसएलओडर को कम संख्या में खतरे वाले अभिनेताओं द्वारा तैनात किया जा रहा है। अधिक विशेष रूप से, शोधकर्ताओं का कहना है कि उन्होंने खतरे का उपयोग करते हुए दो हैकर समूहों का पता लगाया है, जिनमें से एक TA543 APT (उन्नत स्थायी खतरा) समूह है। JSSLoader के नए C++ संस्करण समूह द्वारा किए गए एक नए धमकी भरे अभियान के हिस्से के रूप में पाए गए। हमलों की श्रृंखला उद्योग क्षेत्रों के विविध सेट - स्वास्थ्य सेवा, खुदरा, विनिर्माण, वित्त, शिक्षा, परिवहन और प्रौद्योगिकी में सक्रिय संगठनों की एक विस्तृत श्रृंखला को लक्षित करती है।

हमलों में वही विशेषताएं हैं जो 2019 में जेएसएसएलओडर को शामिल करने वाले धमकी भरे अभियानों में शामिल हैं। संभावित पीड़ितों को भ्रष्ट लिंक वाले हजारों बैट ईमेल वितरित किए जाते हैं। ईमेल आम तौर पर लोकप्रिय कंपनियों के चालान और वितरण जानकारी को धोखा देते हैं। नवीनतम परिचालनों के लुभावने संदेशों को यूपीएस द्वारा भेजे गए संदेशों की नकल करने के लिए डिज़ाइन किया गया है। ईमेल के अंदर का लिंक Keitaro TDS को होस्ट करने वाले पेज पर ले जाता है। इसके बाद यह SharePoint पर होस्ट की गई Windows स्क्रिप्टिंग फ़ाइल (WSF) को डाउनलोड करने के लिए आगे बढ़ता है। इसके निष्पादन पर, WSF एक मध्य-चरण की स्क्रिप्ट प्राप्त करता है जो अंततः समझौता किए गए सिस्टम पर JSSLoader के C ++ संस्करण को डाउनलोड और लोड करता है।