Resecurity
根據資安新聞網站Bleeping Computer的報導,國際信用卡組織Visa旗下的支付詐欺阻斷部門(Payment Fraud Disruption,PFD)發布資安通報,指出最近一波的惡意軟體JsOutProx攻擊,針對南亞、東南亞、中東、非洲金融機構與客戶而來。
對方自3月27日開始從事網路釣魚攻擊,呼籲發卡銀行、處理機構,以及相關單位嚴加防範。而對於攻擊者的最終目標,Visa表示仍有待確認,但指出該駭客組織曾從事金融詐欺行動。
針對這起攻擊行動的細節,資安業者Resecurity也公布相關調查結果。
對方假冒合法的機構,聲稱為目標人士提供財務通知寄送電子郵件,信件內容與SWIFT或MoneyGram付款有關,並挾帶ZIP壓縮檔附件,內容包含.js檔案,一旦收信人執行,電腦就會從程式碼儲存庫GitLab下載JsOutProx惡意酬載。
此惡意程式具備兩個階段酬載,第一階段讓攻擊者進行前期準備,包含進行軟體更新、藉由休眠防止被察覺,或是允許攻擊者執行特定的工具等。
第二階段JsOutProx將載入更多外掛功能,像是從Outlook挖掘聯絡人資訊,以便進行網路釣魚,或者,竊取動態密碼(OTP)以便繞過多因素驗證(MFA)。此外,攻擊者還能調整該木馬程式與C2的通訊方式,以及DNS、代理伺服器組態,從而隱匿相關流量。
根據攻擊手法與地理位置目標,研究人員推測,攻擊者很有可能來自中國,但與過往使用JsOutProx的駭客組織Solar Spider之間,似乎沒有關連。
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19