JSSLoader

O JSSLoader é uma ameaça de malware em estágio inicial com a tarefa de traçar o perfil dos sistemas violados e implantar cargas úteis maliciosas adicionais na cadeia de ataque. A ameaça foi descoberta pela primeira vez por pesquisadores da Infosec em 2019 e, desde então, passou por um rápido desenvolvimento. Na verdade, as versões mais recentes do JSSLoader mostram que a ameaça foi totalmente reescrita de seu .NET original para a linguagem de programação C ++. Embora isso não seja inédito, recriar uma ameaça de malware inteira em um novo idioma ainda é extremamente incomum. É mais do que provável que os cibercriminosos o tenham feito para melhorar as chances de escapar das detecções atuais.

As evidências sugerem que o JSSLoader está sendo implantado por um pequeno número de agentes de ameaças. Mais especificamente, os pesquisadores afirmam ter detectado dois grupos de hackers usando a ameaça, um dos quais é o grupo TA543 APT (Advanced Persistent Threat). As novas versões C ++ do JSSLoader foram encontradas como parte de uma nova campanha ameaçadora realizada pelo grupo. A série de ataques tem como alvo uma ampla gama de organizações que operam em diversos setores da indústria - saúde, varejo, manufatura, finanças, educação, transporte e tecnologia.

Os ataques carregam as mesmas características das operações ameaçadoras envolvendo JSSLoader em 2019. Milhares de e-mails de isca com links corrompidos são distribuídos para vítimas em potencial. Os e-mails geralmente falsificam faturas e informações de entrega de empresas populares. As mensagens de isca das operações mais recentes são projetadas para imitar as enviadas pela UPS. O link dentro do e-mail leva a uma página que hospeda o Keitaro TDS. Em seguida, ele prossegue com o download de um arquivo de script do Windows (WSF) que está hospedado no SharePoint. Após sua execução, o WSF busca um script de estágio intermediário que finalmente baixa e carrega a versão C ++ do JSSLoader no sistema comprometido.