JSSLoader

JSSLoader Opis

JSSLoader to złośliwe oprogramowanie na początkowym etapie, którego zadaniem jest profilowanie naruszonych systemów i wdrażanie dodatkowych złośliwych ładunków w łańcuchu ataków. Zagrożenie zostało po raz pierwszy odkryte przez badaczy infosec w Proofpoint w 2019 roku i od tego czasu przeszło szybki rozwój. W rzeczywistości najnowsze wersje JSSLoadera pokazują, że zagrożenie zostało całkowicie przepisane z oryginalnego .NET na język programowania C++. Chociaż nie jest to niespotykane, odtworzenie całego zagrożenia złośliwym oprogramowaniem w nowym języku jest nadal niezwykle rzadkie. Jest więcej niż prawdopodobne, że cyberprzestępcy zrobili to, aby zwiększyć szanse na uniknięcie bieżących wykryć.

Dowody sugerują, że JSSLoader jest wdrażany przez niewielką liczbę cyberprzestępców. Mówiąc dokładniej, naukowcy twierdzą, że wykryli dwie grupy hakerów korzystające z tego zagrożenia, z których jedną jest grupa TA543 APT (Advanced Persistent Threat). Nowe wersje C++ JSSLoader zostały znalezione w ramach nowej kampanii gróźb przeprowadzonej przez grupę. Seria ataków jest wymierzona w szeroką gamę organizacji działających w różnych sektorach przemysłu – opieki zdrowotnej, handlu detalicznego, produkcji, finansów, edukacji, transportu i technologii.

Ataki mają te same cechy, co groźne operacje z udziałem JSSLoader z 2019 r. Tysiące wiadomości e-mail z przynętami, które zawierają uszkodzone linki, są dystrybuowane do potencjalnych ofiar. E-maile zazwyczaj fałszują faktury i informacje o dostawie od popularnych firm. Komunikaty przynęty z ostatnich operacji są zaprojektowane tak, aby naśladować te wysyłane przez UPS. Link w wiadomości e-mail prowadzi do strony hostującej Keitaro TDS. Następnie przystępuje do pobierania pliku skryptów systemu Windows (WSF), który jest hostowany w programie SharePoint. Po wykonaniu WSF pobiera skrypt środkowego etapu, który w końcu pobiera i ładuje wersję C++ JSSLoader do zaatakowanego systemu.