JSSLoader

Description de JSSLoader

JSSLoader est une menace de malware au stade initial chargée de profiler les systèmes violés et de déployer des charges utiles malveillantes supplémentaires dans la chaîne d'attaque. La menace a été découverte pour la première fois par les chercheurs d'infosec à Proofpoint en 2019 et depuis lors, elle a connu un développement rapide. En fait, les dernières versions de JSSLoader montrent que la menace a été complètement réécrite de son .NET d'origine au langage de programmation C++. Bien que cela ne soit pas rare, recréer une menace entière de malware dans une nouvelle langue est encore extrêmement rare. Il est plus que probable que les cybercriminels l'aient fait pour améliorer les chances d'échapper aux détections actuelles.

Les preuves suggèrent que JSSLoader est déployé par un petit nombre d'acteurs de la menace. Plus précisément, les chercheurs déclarent avoir détecté deux groupes de pirates utilisant la menace, dont le groupe TA543 APT (Advanced Persistent Threat). Les nouvelles versions C++ de JSSLoader ont été découvertes dans le cadre d'une nouvelle campagne menaçante menée par le groupe. La série d'attaques cible un large éventail d'organisations opérant dans un ensemble diversifié de secteurs industriels - soins de santé, vente au détail, fabrication, finance, éducation, transport et technologie.

Les attaques présentent les mêmes caractéristiques que les opérations menaçantes impliquant JSSLoader depuis 2019. Des milliers d'e-mails appâts contenant des liens corrompus sont distribués aux victimes potentielles. Les e-mails falsifient généralement les factures et les informations de livraison des entreprises populaires. Les messages de leurre des dernières opérations sont conçus pour imiter ceux envoyés par UPS. Le lien à l'intérieur de l'e-mail mène à une page hébergeant Keitaro TDS. Il procède ensuite au téléchargement d'un fichier de script Windows (WSF) hébergé sur SharePoint. Lors de son exécution, le WSF récupère un script intermédiaire qui télécharge et charge finalement la version C++ de JSSLoader sur le système compromis.