Kelių įrenginių licencijos (tūrinės nuolaidos)
Threat Database Malware „JsOutProx“

„JsOutProx“

Autorius GoldSparrow, Malware
Versti į:
Lietuvių

Kibernetinio saugumo ekspertai nustatė naują sugadintą scenarijų, kuris plinta gamtoje paslėptas kaip dokumentas. Dažnai šiuose suklastotuose dokumentuose paprastai naudojamas galiojantis failo plėtinys, pvz., „.RTF“ arba „.DOCX“, tačiau aptariamas implantas gaunamas kaip „.JS“ failas. Šiame faile yra „JavaScript“ kodo dalis, susidedanti iš daugiau nei 10 000 eilučių, ir visos jos atrodo beprasmės - taip yra todėl, kad jų autoriai yra naudoję daugiasluoksnius užmaršimus, todėl labai sudėtinga ir daug laiko atkurti aptemimas ir atskleidžia tikrąjį nesaugaus implanto turinį.

Pažeisto „JavaScript“ kodo analizė atskleidė įdomios informacijos apie jį, pavyzdžiui, kad jis yra užprogramuotas susisiekti su valdymo serveriu, esančiu Osle, Norvegijoje. Be to, implanto (vadinamo JsOutProx) autoriai skyrė ypatingą dėmesį antianalizės ir kodų užmaskavimo metodų įgyvendinimui, dėl kurių labai sunku iššifruoti ir analizuoti sugadinto scenarijaus elgesį.

Kompresuotas „Java“ implantas palaiko daugybę komandų ir įskiepių

Nepaisant to, jų pastangų nepakako kenkėjiškų programų tyrinėtojams sustabdyti, o kibernetinio saugumo ekspertai sugebėjo stebėti visą „JsOutProx“ galimybių spektrą. Paleidus „JsOutProx“, failai bus perkelti į aplankus% APPDATA% ir% TEMP%, tada sukuriamas naujas registro raktas, kuris nurodys sistemai paleisti šiuos failus kaskart paleidus. Po jo paleidimo „JsOutProx“ gali būti valdomas nuotolinėmis komandomis, siunčiamomis iš valdymo serverio. Pagal savo dabartinę formą implantas gali atlikti šias užduotis:

  • Paleiskite iš naujo arba atnaujinkite.
  • Nutraukite save ir ištrinkite savo failus.
  • Kontroliuokite užkrėstą aparatą, kad paleistumėte arba išjungtumėte.
  • Vykdykite „JavaScript“ kodą.
  • Vykdykite „Visual Basic“ kodą.
  • Miegokite nustatytą laiką.
  • Įkelkite „.NET“ dinaminių nuorodų biblioteką.

Be šių pagrindinių komandų palaikymo, „JsOutProx“ funkcionalumą galima patobulinti įdiegiant pasirinktinius papildinius:

  • Proceso papildinys - leidžia operatoriui sunaikinti procesus arba paleisti naujus.
  • DNS papildinys - gali pakeisti užkrėsto kompiuterio DNS konfigūraciją.
  • „Token“ papildinys - jis naudojamas rinkti „Symantec VIP vienkartinį slaptažodį“, kurį įmonės dažnai naudoja kelių veiksnių autentifikavimui.
  • „Outlook“ papildinys - renka išsamią sąskaitos informaciją, kontaktus ir el. Laiškus.
  • Prompt Plugin - parodo pasirinktinį pranešimą pažeistame įrenginyje.

Atrodo, kad „JsOutProx“ yra patyrusių kenkėjiškų programų kūrėjų produktas, ir gali būti, kad išplėstinė nuolatinių grėsmių (APT) grupė gali būti jos kūrimo priežastis. Tačiau su šia operacija dar nebuvo susietas joks garsus vardas. Naujausios antivirusinių variklių versijos turėtų padėti lengvai aptikti ir pašalinti JsOutProx implantą.

Tendencijos

Labiausiai žiūrima

„Geek Squad“ el. pašto sukčiavimas

Phishing, Spam
14,963
„Geek Squad“, populiarus techninės pagalbos teikėjas, tapo sukčiavimo sukčiavimo, vadinamo „Geek Squad“ el. pašto sukčiavimu, auka. Ši techninės pagalbos afera naudoja netikrus el. laiškus, kurie apgaudinėja žmones, kad jie atskleistų savo asmeninę informaciją, pvz., kredito kortelės duomenis, el. pašto adresus ir net socialinio draudimo numerius. Šiame straipsnyje aptarsime patį sukčiavimą,...
Įkeliama...