JsOutProx

Gli esperti di sicurezza informatica hanno identificato una nuova sceneggiatura corrotta che si sta diffondendo in natura camuffata da documento. Spesso, questi documenti falsi tendono a utilizzare un'estensione di file valida come '.RTF' o '.DOCX' ma l'impianto in questione arriva come file '.JS'. Questo file contiene un codice JavaScript composto da oltre 10.000 righe e tutte sembrano prive di significato - questo perché i loro autori hanno utilizzato l'offuscamento multistrato, il che rende molto difficile e dispendioso il tempo per decodificare il offuscamento e rivela i contenuti reali dell'impianto non sicuro.

L'analisi del codice JavaScript compromesso ha rivelato alcuni dettagli interessanti al riguardo, come il fatto che è programmato per comunicare con un server di controllo situato a Oslo, in Norvegia. Inoltre, gli autori dell'impianto (chiamato JsOutProx) hanno prestato particolare attenzione all'implementazione di tecniche di anti-analisi e offuscamento del codice che rendono molto difficile decifrare e analizzare il comportamento dello script corrotto.

Un impianto JavaScript compromesso supporta un'ampia gamma di comandi e plugin

Tuttavia, i loro sforzi non sono stati sufficienti per fermare i ricercatori di malware e gli esperti di sicurezza informatica sono stati in grado di osservare l'intera portata delle capacità di JsOutProx. Una volta inizializzato, JsOutProx rilascia i suoi file nelle cartelle% APPDATA% e% TEMP%, quindi crea una nuova chiave di registro che comanda al sistema di avviare questi file ogni volta che si avvia. Dopo l'avvio, JsOutProx può essere gestito tramite comandi remoti inviati dal server di controllo. Nella sua forma attuale, l'impianto è in grado di completare i seguenti compiti:

• Riavvia o aggiorna se stesso.
• Terminare se stesso ed eliminare i suoi file.
• Controllare la macchina infetta per riavviare o spegnere.
• Esegui un codice JavaScript.
• Eseguire un codice Visual Basic.
• Dormi per un tempo specificato.
• Carica una libreria di collegamenti dinamici ".NET".

Oltre a supportare questi comandi di base, la funzionalità di JsOutProx può essere migliorata con l'installazione di plugin sviluppati su misura:

• Plugin di processo : consente all'operatore di terminare i processi o eseguirne di nuovi.
• Plugin DNS : può modificare la configurazione DNS della macchina infetta.
• Token Plugin : viene utilizzato per raccogliere la "Password unica di Symantec VIP" che viene spesso utilizzata per l'autenticazione a più fattori da parte delle aziende.
• Plugin Outlook : raccoglie dettagli dell'account, contatti ed e-mail.
• Plug-in rapido : visualizza un messaggio personalizzato sul dispositivo compromesso.

JsOutProx sembra essere il prodotto di sviluppatori di malware esperti ed è possibile che un gruppo Advanced Persistent Threat (APT) possa essere alla base del suo sviluppo. Tuttavia, nessun nome rilevante è stato ancora collegato a questa operazione. Le ultime versioni dei motori antivirus dovrebbero essere in grado di rilevare e rimuovere con facilità l'impianto JsOutProx.