JSSLoader

JSSLoader - это угроза вредоносного ПО начальной стадии, задача которой состоит в профилировании взломанных систем и развертывании дополнительных вредоносных полезных нагрузок в цепочке атаки. Угроза была впервые обнаружена исследователями информационной безопасности еще в 2019 году, и с тех пор она быстро развивалась. Фактически, последние версии JSSLoader показывают, что угроза была полностью переписана с исходного .NET на язык программирования C ++. Хотя это не является чем-то необычным, воссоздание всей угрозы вредоносного ПО на новом языке по-прежнему крайне редко. Более чем вероятно, что киберпреступники сделали это, чтобы повысить шансы уклониться от текущих обнаружений.

Имеющиеся данные свидетельствуют о том, что JSSLoader развертывается небольшим количеством злоумышленников. В частности, исследователи заявляют, что они обнаружили две группы хакеров, использующих угрозу, одной из которых является группа TA543 APT (Advanced Persistent Threat). Новые версии C ++ JSSLoader были обнаружены как часть новой угрожающей кампании, проводимой группой. Серия атак нацелена на широкий круг организаций, работающих в различных отраслях промышленности - здравоохранение, розничная торговля, производство, финансы, образование, транспорт и технологии.

Атаки имеют те же характеристики, что и угрожающие операции с использованием JSSLoader еще в 2019 году. Тысячи электронных писем-приманок с поврежденными ссылками рассылаются потенциальным жертвам. Электронные письма обычно подделывают счета-фактуры и информацию о доставке от популярных компаний. Сообщения приманки от последних операций созданы так, чтобы имитировать сообщения, отправленные UPS. Ссылка в письме ведет на страницу с Keitaro TDS. Затем он переходит к загрузке файла сценариев Windows (WSF), размещенного в SharePoint. После выполнения WSF извлекает промежуточный сценарий, который, наконец, загружает версию JSSLoader C ++ в скомпрометированную систему.