# JSOutProx > Tipo: **rat** · S0648 · [MITRE ATT&CK](https://attack.mitre.org/software/S0648) ## Descrição [[jsoutprox|JSOutProx]] é um Remote Access Trojan altamente sofisticado implementado inteiramente em JavaScript ([[t1059-007-javascript|T1059.007]]), atribuído ao grupo [[solar-spider|Solar Spider]] (também rastreado como TAG-70 pela Recorded Future e outros) em campanhas direcionadas a instituições financeiras, governos e organizações internacionais desde 2019. A implementação em JavaScript é uma escolha estratégica: permite execução em qualquer ambiente Windows com Windows Script Host sem dependências adicionais, dificulta análise estática por soluções tradicionais de AV, e facilita atualizações rápidas do malware sem recompilação. O [[jsoutprox|JSOutProx]] é distribuído principalmente via phishing com documentos .hta ou .js disfarçados de faturas, ordens de compra e notificações governamentais, visando funcionários de departamentos financeiros. Suas capacidades incluem captura de tela ([[t1113-screen-capture|T1113]]), descoberta de sistema e arquivos ([[t1082-system-information-discovery|T1082]], [[t1083-file-and-directory-discovery|T1083]]), execução de comandos shell ([[t1059-003-windows-command-shell|T1059.003]]), download de plugins adicionais ([[t1105-ingress-tool-transfer|T1105]]) e exfiltração pelo canal C2 ([[t1041-exfiltration-over-c2-channel|T1041]]). Persistência via registro de autorun ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) garante sobrevivência a reinicializações. A ofuscação JavaScript ([[t1027-obfuscated-files-or-information|T1027]]) via técnicas de renaming de variáveis e string splitting dificulta análise. Em 2024, o [[jsoutprox|JSOutProx]] foi identificado em campanhas renovadas contra bancos no Sul da Ásia, Oriente Médio e África, com o [[solar-spider|Solar Spider]] demonstrando foco persistente em roubo de credenciais bancárias e acesso a sistemas SWIFT. A natureza modular do [[jsoutprox|JSOutProx]] - com plugins carregáveis para captura de OTP de SMS, manipulação de formulários bancários e acesso a tokens de autenticação - o posiciona como ferramenta de fraude bancária sofisticada além das capacidades tradicionais de RAT. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-007-javascript|T1059.007 - JavaScript]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] ## Detecção Detecção do [[jsoutprox|JSOutProx]] foca na execução de scripts JavaScript via Windows Script Host. Bloquear execução de .js, .hta e .jse via associações de arquivo (substituindo wscript.exe por notepad.exe) é a mitigação mais eficaz. Monitorar: wscript.exe ou cscript.exe executando scripts com nomes incomuns em diretórios de usuário; conexões de rede saindo de processos de script para domínios externos; e modificações no registro de autorun por scripts. Análise de deofuscação automática de JavaScript é essencial para extrair IOCs de amostras capturadas. ## Relevância LATAM/Brasil O [[jsoutprox|JSOutProx]] é diretamente relevante para o Brasil dado seu foco em instituições financeiras globalmente. O sistema bancário brasileiro, com grandes bancos como Itaú, Bradesco, Caixa e BB processando transações massivas, é um alvo de alto valor para grupos como o [[solar-spider|Solar Spider]]. A sofisticação do [[jsoutprox|JSOutProx]] em manipular sessões bancárias online e capturar tokens de autenticação é particularmente perigosa em um contexto de adoção crescente de Open Banking e PIX no Brasil. Campanhas de phishing disfarçadas de comúnicações do BACEN ou de grandes bancos são vetores de entrega compatíveis com o modus operandi do [[solar-spider|Solar Spider]]. ## Referências - [MITRE ATT&CK - S0648](https://attack.mitre.org/software/S0648)