Τοντ Φωλκ
Δημοσιεύθηκε στις: Απρίλιος 9, 2024
Η συνδεδεμένη με την Κίνα κυβερνοεγκληματική ομάδα Solar Spider κυκλοφόρησε πρόσφατα κακόβουλο λογισμικό που στοχεύει χρηματοπιστωτικά ιδρύματα της Σαουδικής Αραβίας, επεκτείνοντας τις παραδοσιακές περιοχές λειτουργίας της στη Νοτιοανατολική Ασία και την Ινδία. Η Resecurity, μια εταιρεία κυβερνοασφάλειας εξοικειωμένη με τις τακτικές της Solar Spider, ανέφερε τη νέα εκστρατεία κυβερνοεπίθεσης στις αρχές Απριλίου.
Το Resecurity ανακάλυψε ότι μια νέα έκδοση του διαβόητου κακόβουλου λογισμικού JSOutProx της Solar Spider χρησιμοποιήθηκε τον Φεβρουάριο για να στοχεύσει μια άγνωστη περιφερειακή τράπεζα της Σαουδικής Αραβίας και τους πελάτες της. Η επίθεση ξεκίνησε με ένα email ηλεκτρονικού ψαρέματος που παριστάνει ως ειδοποίηση μεταφοράς χρημάτων SWIFT. Μόλις ένας τραπεζικός υπάλληλος έκανε κλικ σε ένα συνημμένο αρχείο PDF, το JSOutProx μπόρεσε να εισαγάγει τα αρχεία πελατών της τράπεζας μέσω μιας κερκόπορτας JavaScript.
Στη συνέχεια, το κακόβουλο πρόγραμμα συνέλεξε πληροφορίες και διαπιστευτήρια λογαριασμού πελατών και στόχευσε πελάτες με παρόμοια μηνύματα ηλεκτρονικού ψαρέματος, αυτή τη φορά χρησιμοποιώντας πλαστές ειδοποιήσεις μεταφοράς Moneygram. Μόλις συνδεθούν, οι τραπεζικοί λογαριασμοί του πελάτη θα μπορούσαν να εξαντληθούν.
Η πιο πρόσφατη έκδοση του κακόβουλου λογισμικού είναι πολύ ευέλικτη και προσαρμόζεται στις συνθήκες του θύματος. «Ανάλογα με το περιβάλλον του θύματος, μπαίνει κατευθείαν και στη συνέχεια το αιμορραγεί ή δηλητηριάζει το περιβάλλον, ανάλογα με το ποια πρόσθετα είναι ενεργοποιημένα», ανέφερε ο Gene Yoo, Διευθύνων Σύμβουλος της Resecurity.
Το JSOutProx είναι πολύ γνωστό στον χρηματοπιστωτικό κλάδο της περιοχής Ασίας-Ειρηνικού και εξελίσσεται συνεχώς. Το κακόβουλο λογισμικό έχει χρησιμοποιηθεί για να επιτεθεί σε πελάτες χρηματοπιστωτικών ιδρυμάτων στην Ταϊβάν, τις Φιλιππίνες, τη Σιγκαπούρη, την Ινδία και πιο πρόσφατα στη Μέση Ανατολή, αλλάζοντας συχνά τακτική σε κάθε χώρα.
«Το κακόβουλο λογισμικό JSOutProx αποτελεί σοβαρή απειλή για τα χρηματοπιστωτικά ιδρύματα σε όλο τον κόσμο, και ειδικά για εκείνα της περιοχής [Ασίας-Ειρηνικού], καθώς αυτές οι οντότητες έχουν γίνει πιο συχνά στόχος αυτού του κακόβουλου λογισμικού», ανέφερε η Visa στην εξαμηνιαία έκθεση απειλών της.
Το JSOutProx απομακρυσμένης πρόσβασης Trojan (RAT) "μπορεί να εκτελεί εντολές φλοιού, να κατεβάζει, να ανεβάζει και να εκτελεί αρχεία, να χειρίζεται το σύστημα αρχείων, να δημιουργεί επιμονή, να παίρνει στιγμιότυπα οθόνης και να χειρίζεται συμβάντα πληκτρολογίου και ποντικιού", ανέφερε η Visa στην έκθεσή της. «Αυτά τα μοναδικά χαρακτηριστικά επιτρέπουν στο κακόβουλο λογισμικό να αποφεύγει τον εντοπισμό από συστήματα ασφαλείας και να αποκτά μια ποικιλία ευαίσθητων πληροφοριών πληρωμών και οικονομικών στοιχείων από στοχευμένους χρηματοπιστωτικούς οργανισμούς» και τους πελάτες τους.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.safetydetectives.com/news/solar-spider-expands-malware-attacks-to-saudi-arabia/
