JSSLoader

JSSLoader Descrizione

JSSLoader è una minaccia malware in fase iniziale incaricata di profilare i sistemi violati e distribuire payload dannosi aggiuntivi nella catena di attacco. La minaccia è stata scoperta per la prima volta dai ricercatori di infosec presso Proofpoint nel 2019 e da allora ha subito un rapido sviluppo. In effetti, le ultime versioni di JSSLoader mostrano che la minaccia è stata completamente riscritta dal suo .NET originale al linguaggio di programmazione C++. Sebbene ciò non sia inaudito, ricreare un'intera minaccia malware in una nuova lingua è ancora estremamente raro. È più che probabile che i criminali informatici lo abbiano fatto per aumentare le possibilità di eludere i rilevamenti attuali.

L'evidenza suggerisce che JSSLoader viene distribuito da un piccolo numero di attori delle minacce. Più specificamente, i ricercatori affermano di aver rilevato due gruppi di hacker che utilizzano la minaccia, uno dei quali è il gruppo TA543 APT (Advanced Persistent Threat). Le nuove versioni C++ di JSSLoader sono state trovate come parte di una nuova campagna minacciosa condotta dal gruppo. La serie di attacchi prende di mira un'ampia gamma di organizzazioni che operano in una serie diversificata di settori industriali: sanità, vendita al dettaglio, produzione, finanza, istruzione, trasporti e tecnologia.

Gli attacchi hanno le stesse caratteristiche delle operazioni minacciose che hanno coinvolto JSSLoader nel 2019. Migliaia di email di esca che trasportano collegamenti corrotti vengono distribuite a potenziali vittime. Le e-mail in genere falsificano le fatture e le informazioni sulla consegna di aziende famose. I messaggi esca delle ultime operazioni sono progettati per imitare quelli inviati da UPS. Il collegamento all'interno dell'e-mail conduce a una pagina che ospita Keitaro TDS. Quindi procede al download di un file di script di Windows (WSF) ospitato su SharePoint. Al momento della sua esecuzione, il WSF recupera uno script intermedio che alla fine scarica e carica la versione C++ di JSSLoader sul sistema compromesso.