JsOutProx

A kiberbiztonsági szakértők új sérült szkriptet azonosítottak, amelyet a dokumentumban álcázott vadonban terjesztnek. Ezek a hamis dokumentumok gyakran használnak olyan érvényes fájlkiterjesztést, mint a .RTF vagy a .DOCX, de a kérdéses implantátum „.JS” fájlként érkezik meg. Ez a fájl egy JavaScript kódot tartalmaz, amely több mint 10 000 sorból áll, és mindegyik értelmetlennek tűnik - azért, mert szerzőik többrétegű obfuzációt használtak, ami nagyon megnehezíti és időigényes a eltakarja és feltárja a nem biztonságos implantátum valós tartalmát.

A sértett JavaScript-kód elemzése érdekes részleteket tárt fel róla, például az a tény, hogy programozva van a kommunikációra egy norvégiai oslóban található vezérlőszerverrel. Ezenkívül az implantátum (a JsOutProx néven) szerzői különös figyelmet fordítottak az elemzésellenes és kódmegtakarítási technikák végrehajtására, amelyek nagyon megnehezítik a megrongált szkript viselkedésének megfejtését és elemzését.

A kompromittált JavaScript implantátum támogatja a parancsok és beépülő modulok széles skáláját

Ennek ellenére erőfeszítéseik nem voltak elegendőek a rosszindulatú programok kutatóinak megállításához, és a kiberbiztonsági szakértők képesek voltak megfigyelni a JsOutProx képességeinek teljes körét. Az inicializálás után a JsOutProx eldobja fájljait a% APPDATA% és% TEMP% mappákba, majd létrehoz egy új rendszerleíró kulcsot, amely parancsot ad a rendszernek, hogy indítsa el ezeket a fájlokat, amikor elindul. Az indítás után a JsOutProx a vezérlőkiszolgálón küldött távoli parancsokkal működtethető. A jelenlegi formájában az implantátum a következő feladatokat tudja elvégezni:

• Indítsa újra vagy frissítse magát.
• Lezárja magát és törli a fájljait.
• Irányítsa a fertőzött gépet az újraindításhoz vagy a kikapcsoláshoz.
• Végezzen el egy JavaScript kódot.
• Végezzen el egy Visual Basic kódot.
• Alvás egy meghatározott ideig.
• Töltsön be egy .NET dinamikus link könyvtárat.

Ezen alapvető parancsok támogatása mellett a JsOutProx funkcionalitása fejleszthető az egyedi fejlesztésű bővítmények telepítésével:

• Folyamat-bővítmény - Engedélyezi az operátor számára a folyamatok leállítását vagy újak futtatását.
• DNS beépülő modul - módosíthatja a fertőzött gép DNS-konfigurációját.
• Token beépülő modul - a „Symantec VIP egyszeri jelszó” összegyűjtésére szolgál, amelyet a vállalkozások gyakran használnak a multifaktoros hitelesítéshez.
• Outlook beépülő modul - Fiókadatokat, névjegyeket és e-maileket gyűjt.
• Prompt plugin - Egyéni üzenetet jelenít meg a sérült eszközön.

Úgy tűnik, hogy a JsOutProx tapasztalt malware fejlesztők terméke, és valószínű, hogy az Advanced Persistent Threat (APT) csoport mögött van a fejlesztése. Ehhez a művelethez azonban még semmilyen figyelemre méltó név nem kapcsolódik. Az antivírusmotorok legújabb verzióinak képesnek kell lenniük a JsOutProx implantátum könnyű észlelésére és eltávolítására.