JsOutProx

Cybersecurity-eksperter har identificeret et nyt beskadiget script, der spredes i naturen, som er forklædt som et dokument. Ofte har disse falske dokumenter en tendens til at bruge en gyldig filtypenavn som '.RTF' eller '.DOCX', men det pågældende implantat ankommer som en '.JS' -fil. Denne fil indeholder et stykke JavaScript-kode, der består af over 10.000 linjer, og alle af dem ser ud til at være meningsløse - dette skyldes, at deres forfattere har brugt obstruktion i flere lag, hvilket gør det meget vanskeligt og tidskrævende at omvendt konstruere tilsløring og afslører det virkelige indhold af det usikre implantat.

Analyse af den kompromitterede JavaScript-kode afslørede nogle interessante detaljer om den, såsom det faktum, at den er programmeret til at kommunikere med en kontrolserver beliggende i Oslo, Norge. Endvidere har forfatterne af implantatet (kaldet JsOutProx) lagt ekstra opmærksomhed på implementering af anti-analyse og kodehæmmningsteknikker, der gør det meget vanskeligt at dechiffrere og analysere det korrupte manuskripts opførsel.

Et kompromitteret JavaScript-implantat understøtter en bred vifte af kommandoer og plugins

Ikke desto mindre var deres indsats ikke nok til at stoppe malware-forskere, og cybersikkerhedseksperter har været i stand til at observere det fulde omfang af JsOutProx 'evner. Når den er initialiseret, vil JsOutProx slippe sine filer til mapperne% APPDATA% og% TEMP%, og derefter oprette en ny registernøgle, der beordrer systemet til at starte disse filer, når det starter op. Når det er startet, kan JsOutProx betjenes via fjernkommandoer sendt fra kontrolserveren. I sin nuværende form er implantatet i stand til at udføre følgende opgaver:

• Genstart eller opdater selv.
• Afslut sig selv og slet dens filer.
• Kontroller den inficerede maskine for at genstarte eller slukke.
• Udfør en JavaScript-kode.
• Udfør en Visual Basic-kode.
• Sov i et bestemt tidsrum.
• Indlæs et '.NET'-dynamisk linkbibliotek.

Ud over at understøtte disse basiske kommandoer kan funktionaliteten af JsOutProx forbedres med installationen af specialudviklede plugins:

• Process Plugin - Gør det muligt for operatøren at dræbe processer eller køre nye.
• DNS-plugin - Kan ændre den inficerede maskins DNS-konfiguration.
• Token Plugin - Det bruges til at indsamle 'Symantec VIP One Time Password', der ofte bruges til multifaktorgodkendelse af virksomheder.
• Outlook Plugin - Samler kontooplysninger, kontakter og e-mails.
• Prompt plugin - Viser en brugerdefineret meddelelse på den kompromitterede enhed.

JsOutProx ser ud til at være et produkt fra erfarne malware-udviklere, og det er muligt, at en APT-gruppe (Advanced Persistent Threat) kan stå bag dens udvikling. Intet navn er imidlertid endnu ikke knyttet til denne operation. De nyeste versioner af antivirusmotorer skal være i stand til let at registrere og fjerne JsOutProx-implantatet.