JSSLoader

JSSLoader är ett hot mot skadlig programvara som inledningsvis har till uppgift att profilera de brutna systemen och distribuera ytterligare skadliga nyttolast i attackkedjan. Hotet upptäcktes först av infosec-forskare vid Proofpoint redan 2019 och sedan dess har det genomgått en snabb utveckling. De senaste versionerna av JSSLoader visar faktiskt att hotet har skrivits om från sitt ursprungliga .NET till programmeringsspråket C ++ helt. Även om detta inte är ovanligt är det fortfarande extremt ovanligt att återskapa ett helt skadligt hot till ett nytt språk. Det är mer än troligt att cyberbrottslingar gjorde det för att förbättra chanserna att undvika aktuella upptäckter.

Bevis tyder på att JSSLoader distribueras av ett litet antal hotaktörer. Mer specifikt säger forskare att de har upptäckt två hackargrupper med hjälp av hotet, varav en är gruppen TA543 APT (Advanced Persistent Threat). De nya C ++ - versionerna av JSSLoader hittades som en del av en ny hotfull kampanj som genomfördes av gruppen. Serien av attacker riktar sig till ett brett spektrum av organisationer som arbetar i en mängd olika branscher - vård, detaljhandel, tillverkning, ekonomi, utbildning, transport och teknik.

Attacken bär samma egenskaper som de hotfulla operationerna som involverar JSSLoader från och med 2019. Tusentals bete-e-postmeddelanden med skadade länkar distribueras till potentiella offer. E-postmeddelandena förfalskar vanligtvis fakturor och leveransinformation från populära företag. Lure-meddelandena från de senaste operationerna är utformade för att efterlikna de som skickats av UPS. Länken i e-postmeddelandet leder till en sida som är värd för Keitaro TDS. Därefter fortsätter nedladdningen av en Windows Scripting File (WSF) som finns på SharePoint. När den körs hämtar WSF ett mellanstegsskript som slutligen laddar ner och laddar C ++ - versionen av JSSLoader på det komprometterade systemet.