JsOutProx

Eksperci od cyberbezpieczeństwa zidentyfikowali nowy skorumpowany skrypt, który rozprzestrzenia się na wolności w przebraniu dokumentu. Często te fałszywe dokumenty używają prawidłowego rozszerzenia pliku, takiego jak „.RTF” lub „.DOCX”, ale dany implant pojawia się jako plik „.JS”. Ten plik zawiera fragment kodu JavaScript, który składa się z ponad 10 000 wierszy, a wszystkie wydają się bez znaczenia - dzieje się tak, ponieważ ich autorzy zastosowali wielowarstwowe zaciemnianie, co sprawia, że bardzo trudne i czasochłonne jest ponowne zaprojektowanie zaciemnianie i ujawnia prawdziwą zawartość niebezpiecznego implantu.

Analiza skompromitowanego kodu JavaScript ujawniła kilka interesujących szczegółów na jego temat, takich jak fakt, że jest on zaprogramowany do komunikacji z serwerem kontrolnym znajdującym się w Oslo w Norwegii. Ponadto autorzy implantu (o nazwie JsOutProx) zwrócili szczególną uwagę na wdrożenie technik antyanalizacyjnych i zaciemniania kodu, które bardzo utrudniają rozszyfrowanie i analizę zachowania skryptu.

Uszkodzony implant JavaScript obsługuje szeroki wachlarz poleceń i wtyczek

Niemniej jednak ich wysiłki nie były wystarczające, aby zatrzymać badaczy szkodliwego oprogramowania, a eksperci ds. Cyberbezpieczeństwa mogli obserwować pełny zakres możliwości JsOutProx. Po zainicjowaniu JsOutProx upuści swoje pliki do folderów% APPDATA% i% TEMP%, a następnie utworzy nowy klucz rejestru, który nakazuje systemowi uruchomienie tych plików przy każdym uruchomieniu. Po uruchomieniu JsOutProx można obsługiwać za pomocą poleceń zdalnych wysyłanych z serwera sterującego. W obecnej formie implant jest w stanie wykonać następujące zadania:

• Uruchom ponownie lub zaktualizuj.
• Zakończ się i usuń jego pliki.
• Kontroluj zainfekowaną maszynę, aby zrestartować lub wyłączyć.
• Wykonaj kod JavaScript.
• Wykonaj kod Visual Basic.
• Śpij przez określony czas.
• Załaduj bibliotekę linków dynamicznych .NET.

Oprócz obsługi tych podstawowych poleceń, funkcjonalność JsOutProx można rozszerzyć o instalację niestandardowych wtyczek:

• Process Plugin - Umożliwia operatorowi zabijanie procesów lub uruchamianie nowych.
• Wtyczka DNS - może modyfikować konfigurację DNS zainfekowanego komputera.
• Token Plugin - służy do zbierania „jednorazowego hasła VIP firmy Symantec”, które jest często używane do uwierzytelniania wieloskładnikowego przez firmy.
• Wtyczka Outlook - zbiera dane konta, kontakty i e-maile.
• Monituj wtyczkę - wyświetla niestandardowy komunikat na zainfekowanym urządzeniu.

JsOutProx wydaje się być produktem doświadczonych twórców szkodliwego oprogramowania i możliwe, że za jego rozwojem stoi grupa Advanced Persistent Threat (APT). Jednak żadna znacząca nazwa nie została jeszcze powiązana z tą operacją. Najnowsze wersje silników antywirusowych powinny być w stanie z łatwością wykryć i usunąć implant JsOutProx.