JSSLoader

JSSLoader es una amenaza de malware en etapa inicial que tiene la tarea de perfilar los sistemas violados y desplegar cargas útiles maliciosas adicionales en la cadena de ataque. La amenaza fue descubierta por primera vez por investigadores de seguridad de información en Proofpoint en 2019 y desde entonces ha experimentado un rápido desarrollo. De hecho, las últimas versiones de JSSLoader muestran que la amenaza se ha reescrito de su .NET original al lenguaje de programación C ++ por completo. Si bien esto no es inaudito, la recreación de una amenaza de malware completa en un nuevo idioma sigue siendo extremadamente poco común. Es más que probable que los ciberdelincuentes lo hicieran para mejorar las posibilidades de evadir las detecciones actuales.

La evidencia sugiere que JSSLoader está siendo implementado por una pequeña cantidad de actores de amenazas. Más específicamente, los investigadores afirman que han detectado dos grupos de piratas informáticos que utilizan la amenaza, uno de los cuales es el grupo TA543 APT (Advanced Persistent Threat). Las nuevas versiones C ++ de JSSLoader se encontraron como parte de una nueva campaña amenazante llevada a cabo por el grupo. La serie de ataques tiene como objetivo una amplia gama de organizaciones que operan en un conjunto diverso de sectores industriales: salud, comercio minorista, manufactura, finanzas, educación, transporte y tecnología.

Los ataques tienen las mismas características que las operaciones amenazantes que involucran a JSSLoader desde 2019. Miles de correos electrónicos de cebo que contienen enlaces corruptos se distribuyen a las víctimas potenciales. Los correos electrónicos suelen falsificar facturas e información de entrega de empresas populares. Los mensajes atractivos de las últimas operaciones están diseñados para imitar los enviados por UPS. El enlace dentro del correo electrónico conduce a una página que aloja Keitaro TDS. Luego procede a descargar un archivo de secuencias de comandos de Windows (WSF) que está alojado en SharePoint. Tras su ejecución, WSF obtiene un script de etapa intermedia que finalmente descarga y carga la versión C ++ de JSSLoader en el sistema comprometido.