Todd Faulk
Kiinaan liittyvä Solar Spider -verkkorikollisryhmä otti äskettäin käyttöön Saudi-Arabian rahoituslaitoksiin kohdistuvat haittaohjelmat, jotka laajensivat perinteisiltä toiminta-alueiltaan Kaakkois-Aasiassa ja Intiassa. Solar Spiderin taktiikoihin perehtynyt kyberturvallisuusyritys Resecurity raportoi uudesta kyberhyökkäyskampanjasta huhtikuun alussa.
Resecurity havaitsi, että Solar Spiderin surullisen kuuluisan JSOutProx-haittaohjelman uutta versiota käytettiin helmikuussa kohdistamaan salaamaton Saudi-Arabian aluepankki ja sen asiakkaat. Hyökkäys alkoi tietojenkalasteluviestillä, joka esiintyi SWIFT-varojen siirtoilmoituksena. Kun pankin työntekijä napsautti liitteenä olevaa PDF-tiedostoa, JSOutProx pystyi syöttämään pankin asiakastiedostot JavaScript-takaoven kautta.
Haittaohjelma keräsi sitten asiakastilitietoja ja tunnistetietoja ja kohdisti asiakkaisiin samankaltaisia tietojenkalasteluviestejä tällä kertaa käyttämällä väärennettyjä Moneygram-siirtoilmoituksia. Kerran koukussa asiakkaan pankkitilit voidaan tyhjentää.
Haittaohjelman uusin versio on erittäin joustava ja mukautuu uhrin olosuhteisiin. "Riippuen uhrin ympäristöstä, se menee suoraan sisään ja sitten todella vuotaa hänet tai myrkyttää ympäristön riippuen siitä, mitkä laajennukset ovat käytössä", kertoi Gene Yoo, Resecurityn toimitusjohtaja.
JSOutProx tunnetaan hyvin Aasian ja Tyynenmeren alueen rahoitusalalla ja kehittyy jatkuvasti. Haittaohjelmalla on hyökätty Taiwanin, Filippiinien, Singaporen, Intian ja viime aikoina Lähi-idän rahoituslaitosten asiakkaita vastaan, ja taktiikka on usein vaihdettu kussakin maassa.
"JSOutProx-haittaohjelma muodostaa vakavan uhan rahoituslaitoksille ympäri maailmaa ja erityisesti [Aasian ja Tyynenmeren] alueen rahoituslaitoksille, koska nämä tahot ovat useammin joutuneet tämän haittaohjelman kohteena", Visa sanoi puolivuosittaisessa uhkaraportissaan.
JSOutProx-etäkäyttötroijalainen (RAT) "voi suorittaa komentotulkkikomentoja, ladata, ladata ja suorittaa tiedostoja, manipuloida tiedostojärjestelmää, luoda pysyvyyttä, ottaa kuvakaappauksia ja manipuloida näppäimistön ja hiiren tapahtumia", Visa totesi raportissaan. "Näiden ainutlaatuisten ominaisuuksien avulla haittaohjelmat voivat välttää tietoturvajärjestelmien havaitsemisen ja saada erilaisia arkaluontoisia maksu- ja taloustietoja kohdennetuilta rahoituslaitoksilta" ja niiden asiakkailta.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.safetydetectives.com/news/solar-spider-expands-malware-attacks-to-saudi-arabia/
