Resecurity

根據資安新聞網站Bleeping Computer的報導，國際信用卡組織Visa旗下的支付詐欺阻斷部門（Payment Fraud Disruption，PFD）發布資安通報，指出最近一波的惡意軟體JsOutProx攻擊，針對南亞、東南亞、中東、非洲金融機構與客戶而來。

對方自3月27日開始從事網路釣魚攻擊，呼籲發卡銀行、處理機構，以及相關單位嚴加防範。而對於攻擊者的最終目標，Visa表示仍有待確認，但指出該駭客組織曾從事金融詐欺行動。

針對這起攻擊行動的細節，資安業者Resecurity也公布相關調查結果。

對方假冒合法的機構，聲稱為目標人士提供財務通知寄送電子郵件，信件內容與SWIFT或MoneyGram付款有關，並挾帶ZIP壓縮檔附件，內容包含.js檔案，一旦收信人執行，電腦就會從程式碼儲存庫GitLab下載JsOutProx惡意酬載。

此惡意程式具備兩個階段酬載，第一階段讓攻擊者進行前期準備，包含進行軟體更新、藉由休眠防止被察覺，或是允許攻擊者執行特定的工具等。

第二階段JsOutProx將載入更多外掛功能，像是從Outlook挖掘聯絡人資訊，以便進行網路釣魚，或者，竊取動態密碼（OTP）以便繞過多因素驗證（MFA）。此外，攻擊者還能調整該木馬程式與C2的通訊方式，以及DNS、代理伺服器組態，從而隱匿相關流量。

根據攻擊手法與地理位置目標，研究人員推測，攻擊者很有可能來自中國，但與過往使用JsOutProx的駭客組織Solar Spider之間，似乎沒有關連。