JsOutProx

Stručnjaci za cyber-sigurnost identificirali su novu korumpiranu skriptu koja se u divljini širi prerušena u dokument. Često se u ovim lažnim dokumentima koristi važeće datotečno proširenje poput ".RTF" ili ".DOCX", ali dotični implantat dolazi kao ".JS" datoteka. Ova datoteka sadrži komad JavaScript koda koji se sastoji od preko 10 000 redaka, a svi oni izgledaju besmisleno - to je zbog toga što su njihovi autori koristili višeslojnu oblučenost, što znatno otežava i dugotrajno pretvara inženjer zamračenja i otkriva stvarne sadržaje nesigurnog implantata.

Analiza kompromitiranog JavaScript koda otkrila je neke zanimljive detalje o njemu, poput činjenice da je programiran za komunikaciju s kontrolnim poslužiteljem koji se nalazi u Oslu, u Norveškoj. Nadalje, autori implantata (zvani JsOutProx) posvetili su dodatnu pozornost provedbi tehnika antianalize i obfukcije koda koje otežavaju dešifriranje i analizu ponašanja pokvarenih scenarija.

Kompromitirani JavaScript implantat podržava široki niz naredbi i dodataka

Ipak, njihovi napori nisu bili dovoljni da zaustave istraživače zlonamjernog softvera, a stručnjaci za kibernetičku sigurnost uspjeli su promatrati puni opseg JsOutProx-ovih sposobnosti. Jednom kada se inicijalizira, JsOutProx će baciti svoje datoteke u mape% APPDATA% i% TEMP%, a zatim će kreirati novi registarski ključ koji naređuje sustavu da pokrene te datoteke kad god se podigne. Nakon što je pokrenut, JsOutProxom može se upravljati preko udaljenih naredbi poslanih s upravljačkog poslužitelja. U svom trenutnom obliku, implantat je u stanju ispuniti sljedeće zadatke:

• Ponovo pokrenite ili ažurirajte.
• Završite sami i izbrišite svoje datoteke.
• Kontrolirajte zaraženi stroj kako biste ga ponovo pokrenuli ili isključili.
• Izvršite JavaScript kôd.
• Izvršite Visual Basic kôd.
• Spavajte određeno vrijeme.
• Učitajte biblioteku dinamičkih veza ".NET".

Uz podršku ovih osnovnih naredbi, funkcionalnost JsOutProx može se poboljšati ugradnjom prilagođenih razvijenih dodataka:

• Procesni dodatak - omogućuje operateru da uništi procese ili pokrene nove.
• DNS dodatak - može promijeniti DNS konfiguraciju zaražene mašine.
• Token Plugin - koristi se za prikupljanje 'Symantec VIP jednokratne lozinke' koja se često koristi za multifaktornu provjeru autentičnosti od strane poduzeća.
• Outlook Plugin - Prikuplja podatke o računu, kontakte i e-poruke.
• Dodatak za prompt - Prikazuje prilagođenu poruku na kompromitiranom uređaju.

Čini se da je JsOutProx proizvod iskusnih programera za zlonamjerni softver, a moguće je da iza njenog razvoja stoji skupina naprednih upornih prijetnji (APT). No, niti jedno znamenito ime još nije povezano s ovom operacijom. Najnovije verzije antivirusnih motora trebale bi biti u stanju lako i lako otkriti i ukloniti JsOutProx implantat.