JSSLoader

JSSLoader Beschrijving

JSSLoader is een malware-bedreiging in de beginfase die is belast met het profileren van de geschonden systemen en het inzetten van extra kwaadaardige payloads in de aanvalsketen. De dreiging werd voor het eerst ontdekt door infosec-onderzoekers van Proofpoint in 2019 en heeft sindsdien een snelle ontwikkeling doorgemaakt. In feite laten de nieuwste versies van JSSLoader zien dat de dreiging volledig is herschreven van de oorspronkelijke .NET naar de C++-programmeertaal. Hoewel dit niet ongehoord is, is het nog steeds uiterst ongewoon om een volledige malwarebedreiging in een nieuwe taal opnieuw te creëren. Het is meer dan waarschijnlijk dat de cybercriminelen dit deden om de kans te vergroten om huidige detecties te ontwijken.

Er zijn aanwijzingen dat JSSLoader wordt ingezet door een klein aantal dreigingsactoren. Meer specifiek stellen onderzoekers dat ze twee groepen hackers hebben gedetecteerd die gebruikmaken van de dreiging, waaronder de TA543 APT-groep (Advanced Persistent Threat). De nieuwe C++-versies van JSSLoader werden gevonden als onderdeel van een nieuwe bedreigende campagne die door de groep werd uitgevoerd. De reeks aanvallen is gericht op een breed scala van organisaties die actief zijn in een diverse reeks industriële sectoren: gezondheidszorg, detailhandel, productie, financiën, onderwijs, transport en technologie.

De aanvallen hebben dezelfde kenmerken als de dreigende operaties met JSSLoader uit 2019. Duizenden lokaas-e-mails met beschadigde links worden verspreid onder potentiële slachtoffers. De e-mails vervalsen meestal facturen en leveringsinformatie van populaire bedrijven. De lokberichten van de laatste operaties zijn ontworpen om de berichten na te bootsen die door UPS zijn verzonden. De link in de e-mail leidt naar een pagina waarop Keitaro TDS wordt gehost. Vervolgens gaat het verder met het downloaden van een Windows Scripting File (WSF) dat wordt gehost op SharePoint. Na de uitvoering haalt de WSF een script in de middelste fase op dat uiteindelijk de C++-versie van JSSLoader downloadt en laadt op het gecompromitteerde systeem.