Licence pro více zařízení (množstevní slevy)
Threat Database Malware JsOutProx

JsOutProx

V roce GoldSparrow v roce Malware
Přeložit do:
Čeština

Odborníci na kybernetickou bezpečnost identifikovali nový poškozený skript, který se šíří ve volné přírodě maskovaný jako dokument. Tyto falešné dokumenty mají často tendenci používat platnou příponu souboru, jako je „.RTF“ nebo „.DOCX“, ale dotyčný implantát dorazí jako soubor „.JS“. Tento soubor obsahuje část kódu JavaScript, která se skládá z více než 10 000 řádků, a všechny se zdají být bezvýznamné - je to proto, že jejich autoři použili vícevrstvé zmatení, což je velmi obtížné a časově náročné zpětně analyzovat zmatek a odhaluje skutečný obsah nebezpečného implantátu.

Analýza kompromitovaného kódu JavaScript odhalila některé zajímavé podrobnosti, jako je skutečnost, že je naprogramován tak, aby komunikoval s řídicím serverem umístěným v norském Oslu. Autoři implantátu (nazývaného JsOutProx) dále věnovali zvláštní pozornost implementaci technik anti-analýzy a zmatku kódu, které velmi obtížně dešifrují a analyzují chování poškozeného skriptu.

Kompromitovaný JavaScriptový implantát podporuje široké pole příkazů a pluginů

Jejich úsilí však nestačilo k zastavení výzkumníků malwaru a odborníci na kybernetickou bezpečnost byli schopni dodržet celý rozsah schopností JsOutProx. Po inicializaci JsOutProx přetáhne své soubory do složek% APPDATA% a% TEMP% a poté vytvoří nový klíč registru, který přikáže systému spustit tyto soubory při každém spuštění. Po spuštění lze JsOutProx ovládat pomocí vzdálených příkazů odeslaných z řídicího serveru. Ve své současné podobě je implantát schopen plnit následující úkoly:

  • Restartujte nebo aktualizujte sám.
  • Ukončit sám a odstranit jeho soubory.
  • Ovládejte infikovaný počítač tak, aby se restartoval nebo vypnul.
  • Spusťte kód JavaScript.
  • Spustit kód jazyka.
  • Spát po stanovenou dobu.
  • Načtěte knihovnu dynamických odkazů „.NET“.

Kromě podpory těchto základních příkazů lze funkčnost JsOutProx vylepšit instalací pluginů vyvinutých na míru:

  • Process Plugin - Umožňuje operátorovi zabíjet procesy nebo spouštět nové.
  • Plugin DNS - Může upravit konfiguraci DNS infikovaného počítače.
  • Token Plugin - Používá se ke shromažďování „jednorázového hesla Symantec VIP“, které podniky často používají k ověřování multifaktorů.
  • Plugin aplikace Outlook - shromažďuje podrobnosti o účtu, kontakty a e-maily.
  • Prompt Plugin - Zobrazí vlastní zprávu na ohroženém zařízení.

Zdá se, že produkt JsOutProx je produktem zkušených vývojářů malwaru a je možné, že za jeho vývojem může být skupina Advanced Persistent Threat (APT). S touto operací však dosud nebylo spojeno žádné pozoruhodné jméno. Nejnovější verze antivirových modulů by měly být schopny snadno detekovat a odstranit implantát JsOutProx.

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
14,963
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...