JsOutProx
Cybersecurity-eksperter har identifisert et nytt ødelagt skript som spres i naturen forkledd som et dokument. Ofte pleier disse falske dokumentene å bruke en gyldig filtype som '.RTF' eller '.DOCX', men implantatet det gjelder kommer som en '.JS' -fil. Denne filen inneholder et stykke JavaScript-kode som består av over 10 000 linjer, og alle av dem ser ut til å være meningsløse - dette er fordi forfatterne deres har brukt flersjikt tilsløring, noe som gjør det veldig vanskelig og tidkrevende å reversere ingeniøren tilsløring og avslører det virkelige innholdet i det utrygge implantatet.
Analyse av den kompromitterte JavaScript-koden avslørte noen interessante detaljer om den, for eksempel det faktum at den er programmert til å kommunisere med en kontrollserver som ligger i Oslo, Norge. Videre har forfatterne av implantatet (kalt JsOutProx) lagt ekstra vekt på å implementere anti-analyse og kodehindringsteknikker som gjør det veldig vanskelig å tyde og analysere det ødelagte skriptets oppførsel.
Et kompromittert JavaScript-implantat støtter et bredt utvalg av kommandoer og plugins
Likevel var deres innsats ikke nok til å stoppe malware-forskere, og eksperter på nett-sikkerhet har vært i stand til å observere hele omfanget av JsOutProx sine evner. Når de er initialisert, vil JsOutProx slippe filene sine til mappene% APPDATA% og% TEMP%, og deretter opprette en ny registernøkkel som kommandoer systemet til å starte disse filene når de starter opp. Etter at den er startet, kan JsOutProx betjenes via fjernkommandoer sendt fra kontrollserveren. I sin nåværende form er implantatet i stand til å fullføre følgende oppgaver:
- Start på nytt eller oppdater.
- Avslutt seg selv og slett filene.
- Kontroller den infiserte maskinen for å starte på nytt eller slå av den.
- Utfør en JavaScript-kode.
- Utfør en Visual Basic-kode.
- Sov i et spesifikt tidspunkt.
- Last inn et '.NET' dynamisk lenke bibliotek.
I tillegg til å støtte disse grunnleggende kommandoene, kan funksjonen til JsOutProx forbedres med installasjonen av spesialutviklede plugins:
- Process Plugin - Gjør det mulig for operatøren å drepe prosesser eller kjøre nye.
- DNS-plugin - Kan endre den infiserte maskinens DNS-konfigurasjon.
- Token Plugin - Det brukes til å samle 'Symantec VIP One Time Password' som ofte brukes til multifaktorautentisering av bedrifter.
- Outlook Plugin - Samler kontoinformasjon, kontakter og e-postmeldinger.
- Spør plugin - Viser en tilpasset melding på den kompromitterte enheten.
JsOutProx ser ut til å være et produkt av erfarne malware-utviklere, og det er mulig en APT-gruppe (Advanced Persistent Threat) kan stå bak utviklingen. Imidlertid har ingen nevneverdige navn blitt koblet til denne operasjonen ennå. De siste versjonene av antivirusmotorer skal kunne oppdage og fjerne JsOutProx-implantatet med letthet.