A Visa emitiu alerta sobre o aumento nas detecções de uma nova versão do malware JsOutProx visando instituições financeiras e seus clientes. O aviso foi distribuído pela unidade Payment Fraud Disruption (PFD) da gigante de meios de pagamento e enviado a emissores, processadores e adquirentes de cartões.
No comunicado, a Visa diz que tomou conhecimento de uma nova campanha de phishing distribuindo o trojan de acesso remoto em 27 de março. Essa campanha, segundo a empresa, teve como alvo instituições financeiras no Sul e Sudeste Asiático, no Oriente Médio e na África.
Identificado pela primeira vez em dezembro de 2019, o JSOutProx é um trojan de acesso remoto (RAT) e backdoor, desenvolvido em JavaScript e com alta capacidade de ofuscação, que permite que seus operadores executem comandos shell, baixem cargas adicionais, executem arquivos, capturem telas, estabeleçam persistência no dispositivo infectado e controlem o teclado e mouse.
“Embora a PFD não tenha conseguido confirmar o objetivo final da campanha de malware recentemente identificada, esse grupo de e-crime pode ter visado anteriormente instituições financeiras para realizar atividades fraudulentas”, diz o alerta da Visa.
O alerta fornece indicadores de comprometimento (IoCs) relacionados à campanha mais recente e recomenda diversas ações de mitigação, incluindo a conscientização sobre os riscos de phishing, habilitando EMV (padrão de especificações para a realização de pagamentos com cartões) e tecnologias de aceitação segura, protegendo o acesso remoto e monitorando transações suspeitas.
Veja isso
Amex tem cartões roubados após invasão à processadora
Brasil tem 144 mil cartões à venda na dark web por R$ 43
Um relatório da empresa de segurança Resecurity fornece detalhes da operação de phishing JSOutProx. Ela explica que o malware evoluiu em sua versão mais recente, aprimorando a capacidade de evasão e agora usa o GitLab para hospedar suas cargas úteis. Nos ataques observados contra clientes bancários, a Resecurity identificou notificações financeiras fabricadas enviadas aos alvos através de e-mails que se faziam passar por instituições legítimas, apresentando-lhes notificações de pagamento Swift ou MoneyGram falsas.
A Resecurity diz que as primeiras operações do JSOutProx foram atribuídas a um operador de ameaças chamado Solar Spider, mas não há nenhuma atribuição concreta a ele na campanha mais recente. Com base na sofisticação dos ataques, no perfil dos alvos e na sua geografia, os analistas da empresa avaliam, com confiança moderada, que o JSOutProx é operado por operadores de ameaças chineses ou afiliados ao governo da China.
Acesse o relatório completo da Resecurity (em inglês) clicando aqui.