# JSS Loader > Tipo: **rat** · S0648 · [MITRE ATT&CK](https://attack.mitre.org/software/S0648) > [!info] Resumo Operacional > RAT exclusivo do FIN7 ativo desde pelo menos 2019. Duas variantes: .NET (original) e C++ (reescrita em junho 2021). Distribuido via spear-phishing com anexos Office. Coleta informações do sistema e AD, comúnica via base64 com C2. Carrega Carbanak, Cobalt Strike e outras ferramentas FIN7. Principal indicador de comprometimento inicial pelo grupo. ## Visão Geral [[s0648-jss-loader|JSS Loader]] (também escrito JSSLoader) e um Remote Access Trojan (RAT) desenvolvido exclusivamente pelo grupo [[g0046-fin7|FIN7]] (Carbanak Group), ativo desde pelo menos 2019 e amplamente documentado pela Morphisec e Proofpoint. O malware existe em duas variantes distintas: a versao original em .NET e uma reescrita em C++ lanccada em junho de 2021, tornando a detecção por assinatura mais desafiadora. O [[s0648-jss-loader|JSS Loader]] e tipicamente o primeiro payload implantado em intrusions FIN7, funcionando como ponto de entrada para o carregamento de ferramentas mais sofisticadas como [[g0008-carbanak|Carbanak]], [[s0154-cobalt-strike|Cobalt Strike]] e o proprio toolkit FIN7. O [[g0046-fin7|FIN7]] e um dos grupos de cibercrime financeiro mais sofisticados e persistentes do mundo, com bilhoes de dólares em danos atribuidos. Ao contrario de grupos de ransomware que encerram rapidamente, o [[g0046-fin7|FIN7]] manteve operações ininterruptas desde 2015, adaptando continuamente suas ferramentas. O [[s0648-jss-loader|JSS Loader]] e central nessa continuidade: o malware coleta informações detalhadas do sistema comprometido - hostname, dominio, nome de usuario, processos em execução, versao do sistema operacional e membros de grupos do Active Directory - e as transmite ao servidor C2 codificadas em base64. Com essas informações, o operador decide qual payload adicional implantar: em targets de alto valor (bancos, processadoras de pagamento), o [[g0008-carbanak|Carbanak]] e implantado para operações de longo prazo; em outros, o [[s0154-cobalt-strike|Cobalt Strike]] para acesso lateral. A entrega do [[s0648-jss-loader|JSS Loader]] e via spear-phishing ([[t1566-001-spearphishing-attachment|T1566.001]]) com documentos Office maliciosos ([[t1204-002-malicious-file|T1204.002]]) contendo scripts VBA ou JavaScript ([[t1059-005-visual-basic|T1059.005]], [[t1059-007-javascript|T1059.007]]). A persistência e estabelecida via tarefas agendadas ([[t1053-005-scheduled-task|T1053.005]]) ou via registro para garantir reativacao mesmo após reinicializacao. Um elemento caracteristico do FIN7 e o uso de múltiplos estagios de engenharia social - frequentemente ligando para a vitima dias antes do email para aumentar a credibilidade do ataque. **Plataformas:** Windows ## Como Funciona O ciclo de ataque tipico do FIN7 usando [[s0648-jss-loader|JSS Loader]] começa com spear-phishing altamente personalizado contra funcionarios de setores de restaurantes, hospitalidade ou varejo. O email contem um anexo Office com macro VBA ou script JavaScript que, quando executado, baixa e instala o [[s0648-jss-loader|JSS Loader]]. O RAT coleta informações do sistema e AD via WMI e ferramentas nativas, envia para C2 via HTTP/HTTPS com corpo base64-encoded, e aguarda instrucoes. O operador analisa o perfil do alvo e decide o proximo estagio: se for um alvo de alto valor (banco, processadora), implanta [[g0008-carbanak|Carbanak]] para acesso a sistemas de pagamento. ## Attack Flow ```mermaid graph TB A["Spear-Phishing<br/>Email altamente personalizado<br/>Setor: restaurante/hotel/varejo"] --> B["Documento Malicioso<br/>Macro VBA ou JS<br/>FIN7 tema fake invoice/menu"] B --> C["JSS Loader Instalado<br/>Versao .NET ou C++<br/>Persistência via scheduled task"] C --> D["Reconhecimento<br/>Hostname, dominio, usuario<br/>Processos, AD Groups via WMI"] D --> E["Reporte ao C2<br/>Dados encodados base64<br/>HTTP/HTTPS para infraestrutura FIN7"] E --> F["Decisao FIN7<br/>Alto valor: Carbanak<br/>Outros: Cobalt Strike"] F --> G["Impacto Financeiro<br/>Fraude em sistemas de pagamento<br/>ou ransomware / exfiltração"] style A fill:#1a1a2e,color:#e0e0e0 style B fill:#16213e,color:#e0e0e0 style C fill:#0f3460,color:#e0e0e0 style D fill:#533483,color:#e0e0e0 style E fill:#533483,color:#e0e0e0 style F fill:#e94560,color:#ffffff style G fill:#c62a2a,color:#ffffff ``` ## Timeline ```mermaid timeline title JSS Loader - Historico FIN7 2019 : JSS Loader versao .NET documentado : FIN7 usa como primeiro estagio de acesso 2020 : Campanhas massivas contra hospitality : Proofpoint documenta cadeia de entrega 2021-06 : JSS Loader reescrito em C++ : Mudanca dificulta detecção por assinatura 2021-09 : Morphisec publica análise detalhada : Variantes .NET e C++ confirmadas 2022 : FIN7 expande targets alem de hospitality : JSS Loader em campanhas ransomware (Conti) 2023 : FIN7 documenta como afiliado de multiplos RaaS : JSS Loader persiste como ferramenta principal 2024 : Deteccoes continuam em campanhas FIN7 ativas ``` ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - entrega via email spear-phishing - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - documento Office com macro maliciosa - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - macro VBA no documento de entrega - [[t1059-007-javascript|T1059.007 - JavaScript]] - script JS alternativo de entrega - [[t1059-001-powershell|T1059.001 - PowerShell]] - execução de segundo estagio - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - download de payloads adicionais - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - persistência via tarefa agendada - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - perfil completo do sistema - [[t1069-002-domain-groups|T1069.002 - Domain Groups]] - enumeracao de grupos do AD - [[t1016-system-network-configuration-discovery|T1016 - System Network Discovery]] - configuração de rede ## Grupos que Usam - [[g0046-fin7|FIN7]] - único operador conhecido; grupo de crime financeiro sofisticado ## Relevância LATAM/Brasil O [[g0046-fin7|FIN7]] tem historico de ataques a redes de restaurantes, cadeias de hospitalidade e varejistas - setores com forte presenca no Brasil. Redes de fast food, hoteis e redes varejistas brasileiras com operações internacionais sao alvos potenciais. O uso do [[s0648-jss-loader|JSS Loader]] como precursor do [[g0008-carbanak|Carbanak]] e especialmente relevante para instituicoes financeiras brasileiras: o [[g0008-carbanak|Carbanak]] e capaz de comprometer sistemas de processamento de pagamento e transferencias bancarias interbancarias - uma ameaça direta ao sistema financeiro nacional. O Brasil possui um dos maiores setores de varejo e hospitalidade da América Latina, com redes de restaurantes e hoteis operando sistemas de POS e processamento de pagamento potencialmente vulneraveis ao modelo de ataque do [[g0046-fin7|FIN7]]. Organizacoes destes setores devem tratar spear-phishing altamente personalizado como vetor de risco prioritario e implementar controles de execução de macros Office. ## Detecção - Detectar criação de tarefas agendadas por `mshta.exe`, `wscript.exe` ou `cscript.exe` - Monitorar consultas WMI para coleta de informações do sistema (Win32_ComputerSystem, Win32_Process) por processos incomuns - Alertar para conexoes HTTP/HTTPS de saida de processos de scripting com corpos base64-encoded de tamanho anormal - Detectar execução de scripts VBA que criam processos filhos PowerShell com argumentos codificados - Monitorar criação de arquivos executaveis em `%APPDATA%`, `%TEMP%` por processos Office ```sigma title: JSS Loader FIN7 Scheduled Task Persistence status: stable logsource: category: process_creation product: windows detection: selection: Image|endswith: '\schtasks.exe' CommandLine|contains: '/create' ParentImage|endswith: - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' condition: selection falsepositives: - Legitimaté enterprise scripting creating scheduled tasks level: high tags: - attack.persistence - attack.t1053.005 - code/distill ``` ## Referências - [1](https://attack.mitre.org/software/S0648) MITRE ATT&CK - S0648 JSS Loader (2024) - [2](https://www.morphisec.com/hubfs/eBooks%20and%20Reports/JSSLoader%3A%20Recoded%20and%20Reloaded.pdf) Morphisec - JSSLoader: Recoded and Reloaded (2021) - [3](https://www.proofpoint.com/us/blog/threat-insight/fin7-targeting-us-companies-novel-methods) Proofpoint - FIN7 Targeting US Companies with Novel Methods (2020) - [4](https://www.crowdstrike.com/blog/carbon-spider-embraces-big-game-hunting/) CrowdStrike - Carbon Spider Embraces Big Game Hunting (2021) - [5](https://www.mandiant.com/resources/blog/fin7-attacks-and-tools) Mandiant - FIN7 Attacks and Tools (2022)