图片来源:
Resecurity
根据资安新闻网站Bleeping Computer的报导,对方假冒合法的机构,声称为目标人士提供财务通知寄送电子邮件,信件内容与SWIFT或MoneyGram付款有关,并挟带ZIP压缩档附件,内容包含.js档案,一旦收信人执行,电脑就会从程式码储存库GitLab下载JsOutProx恶意酬载。
此恶意程式具备两个阶段酬载,第一阶段让攻击者进行前期准备,包含进行软体更新、借由休眠防止被察觉,或是允许攻击者执行特定的工具等。
第二阶段JsOutProx将载入更多外挂功能,像是从Outlook挖掘联络人资讯,以便进行网路钓鱼,或者,窃取动态密码(OTP)以便绕过多因素验证(MFA)。此外,攻击者还能调整该木马程式与C2的通讯方式,以及DNS、代理伺服器组态,从而隐匿相关流量。
根据攻击手法与地理位置目标,研究人员推测,攻击者很有可能来自中国,但与过往使用JsOutProx的骇客组织Solar Spider之间,似乎没有关连。