JSSLoader

JSSLoader-Beschreibung

JSSLoader ist eine Malware-Bedrohung im Anfangsstadium, deren Aufgabe es ist, ein Profil der angegriffenen Systeme zu erstellen und zusätzliche bösartige Nutzlasten in der Angriffskette bereitzustellen. Die Bedrohung wurde erstmals 2019 von infosec-Forschern bei Proofpoint entdeckt und hat sich seitdem rasant weiterentwickelt. Tatsächlich zeigen die neuesten Versionen von JSSLoader, dass die Bedrohung vollständig von ihrem ursprünglichen .NET auf die Programmiersprache C++ umgeschrieben wurde. Obwohl dies nicht ungewöhnlich ist, ist es immer noch äußerst selten, eine ganze Malware-Bedrohung in einer neuen Sprache neu zu erstellen. Es ist mehr als wahrscheinlich, dass die Cyberkriminellen dies taten, um die Chancen zu verbessern, aktuellen Erkennungen zu entgehen.

Es gibt Hinweise darauf, dass JSSLoader von einer kleinen Anzahl von Bedrohungsakteuren bereitgestellt wird. Genauer gesagt geben die Forscher an, dass sie zwei Hackergruppen entdeckt haben, die die Bedrohung nutzen, von denen eine die TA543 APT (Advanced Persistent Threat)-Gruppe ist. Die neuen C++-Versionen von JSSLoader wurden im Rahmen einer neuen Bedrohungskampagne der Gruppe gefunden. Die Angriffsserie zielt auf ein breites Spektrum von Organisationen ab, die in unterschiedlichen Branchen tätig sind – Gesundheitswesen, Einzelhandel, Fertigung, Finanzen, Bildung, Transport und Technologie.

Die Angriffe weisen dieselben Merkmale auf wie die Bedrohungsoperationen mit JSSLoader aus dem Jahr 2019. Tausende von Köder-E-Mails mit beschädigten Links werden an potenzielle Opfer verteilt. Die E-Mails fälschen in der Regel Rechnungen und Lieferinformationen bekannter Unternehmen. Die Lockmeldungen der letzten Operationen sind so konzipiert, dass sie die von UPS gesendeten nachahmen. Der Link in der E-Mail führt zu einer Seite, auf der Keitaro TDS gehostet wird. Anschließend wird eine Windows-Skriptdatei (WSF) heruntergeladen, die auf SharePoint gehostet wird. Bei seiner Ausführung ruft das WSF ein Middle-Stage-Skript ab, das schließlich die C++-Version von JSSLoader herunterlädt und auf das kompromittierte System lädt.