JsOutProx

Cybersecurity-experts hebben een nieuw corrupt script geïdentificeerd dat in het wild wordt vermomd als een document. Vaak gebruiken deze valse documenten een geldige bestandsextensie zoals '.RTF' of '.DOCX' maar het implantaat in kwestie komt aan als een '.JS' bestand. Dit bestand bevat een stuk JavaScript-code die uit meer dan 10.000 regels bestaat en ze lijken allemaal zinloos te zijn - dit komt omdat hun auteurs meerlagige verduistering hebben gebruikt, wat het erg moeilijk en tijdrovend maakt om de reverse-engineering van de obfuscation en onthult de echte inhoud van het onveilige implantaat.

Analyse van de gecompromitteerde JavaScript-code onthulde enkele interessante details, zoals het feit dat deze is geprogrammeerd om te communiceren met een besturingsserver in Oslo, Noorwegen. Bovendien hebben de auteurs van het implantaat (JsOutProx genoemd) extra aandacht besteed aan het implementeren van anti-analyse- en code-obfuscatietechnieken die het erg moeilijk maken om het gedrag van het beschadigde script te ontcijferen en te analyseren.

Een gecompromitteerd JavaScript-implantaat ondersteunt een breed scala aan opdrachten en plug-ins

Desalniettemin waren hun inspanningen niet voldoende om malware-onderzoekers te stoppen, en cybersecurity-experts hebben de volledige mogelijkheden van JsOutProx kunnen observeren. Eenmaal geïnitialiseerd, zet JsOutProx zijn bestanden neer in de mappen% APPDATA% en% TEMP% en maakt vervolgens een nieuwe registersleutel die het systeem opdracht geeft om deze bestanden te starten wanneer het opstart. Nadat het is gestart, kan JsOutProx worden bediend via externe opdrachten die worden verzonden vanaf de besturingsserver. In zijn huidige vorm kan het implantaat de volgende taken uitvoeren:

• Herstart of update zichzelf.
• Beëindig zichzelf en verwijder de bestanden.
• Bedien de geïnfecteerde machine om opnieuw op te starten of uit te schakelen.
• Voer een JavaScript-code uit.
• Voer een Visual Basic-code uit.
• Slaap voor een bepaalde tijd.
• Laad een '.NET' dynamische linkbibliotheek.

Naast ondersteuning van deze basisopdrachten, kan de functionaliteit van JsOutProx worden verbeterd met de installatie van op maat ontwikkelde plug-ins:

• Procesplug-in - Hiermee kan de operator processen doden of nieuwe uitvoeren.
• DNS-plug-in - Kan de DNS-configuratie van de geïnfecteerde machine wijzigen.
• Token-plugin - het wordt gebruikt om het 'Symantec VIP One Time Password' te verzamelen dat vaak wordt gebruikt voor multifactor-authenticatie door bedrijven.
• Outlook-plug-in - Verzamelt accountgegevens, contacten en e-mails.
• Prompt Plugin - Toont een aangepast bericht op het gecompromitteerde apparaat.

JsOutProx lijkt het product van ervaren malware-ontwikkelaars te zijn en het is mogelijk dat een Advanced Persistent Threat (APT) -groep achter de ontwikkeling ervan zit. Er is echter nog geen opmerkelijke naam aan deze bewerking gekoppeld. De nieuwste versies van antivirusprogramma's moeten het JsOutProx-implantaat gemakkelijk kunnen detecteren en verwijderen.