بر اساس تجزیه و تحلیل Cyble، عوامل تهدید از Reputation Hijacking و JamPlus به منظور دور زدن Smart App Control (SAC) استفاده کرده و امکان تحویل یکپارچه payloadهای مخرب مانند سارقهای اطلاعات را فراهم میسازند.
Cyble به تازگی یک سایت فیشینگ شناسایی کرده که در پوشش صفحه دانلود CapCut ظاهر شده است. هدف این سایت فریب کاربران برای دانلود نرمافزارهای مخرب است. عوامل تهدید با تعبیه یک برنامه قانونی دارای امضای CapCut در پکیج دانلود شده مخرب، از اعتبار برنامههای معروف برای دور زدن سیستمهای امنیتی استفاده کردهاند. این کمپین از یک PoC و ابزار ساخت JamPlus برای اجرای اسکریپتهای مخرب جهت فرار از شناسایی استفاده میکند.
این حمله در چند مرحله آشکار شده و از ترکیبی از ابزارهای قانونی، روشهای بدون فایل و مخازن کد معروفی مانند GitHub استفاده میکند تا موجه به نظر برسد و به طور موثر اقدامات امنیتی را دور بزند. payload نهایی این کمپین نیز یک نوع NodeStealer است که برای گرفتن اطلاعات حساس کاربران و استخراج آن از طریق کانال تلگرام طراحی شده است.
https://cyble.com/blog/reputation-hijacking-with-jamplus-a-maneuver-to-bypass-smart-app-control-sac/
