JsOutProx

Os especialistas em segurança cibernética identificaram um novo script corrompido que está sendo espalhado na natureza, disfarçado de documento. Geralmente, esses documentos falsos tendem a usar uma extensão de arquivo válida como '.RTF' ou '.DOCX', mas o implante em questão chega como um arquivo '.JS'. Esse arquivo contém um pedaço de código JavaScript que consiste em mais de 10.000 linhas e todas parecem não ter sentido - isso ocorre porque seus autores usaram ofuscação em várias camadas, o que dificulta e consome muito tempo a engenharia reversa do ofuscação e revela o conteúdo real do implante inseguro.

A análise do código JavaScript comprometido revelou alguns detalhes interessantes sobre ele, como o fato de ele estar programado para se comunicar com um servidor de controle localizado em Oslo, Noruega. Além disso, os autores do implante (chamado JsOutProx) prestaram atenção extra à implementação de técnicas anti-análise e ofuscação de código que tornam muito difícil decifrar e analisar o comportamento do script corrompido.

Um Implante Comprometido do JavaScript Suporta uma Grande Variedade de Comandos e Plugins

No entanto, seus esforços não foram suficientes para impedir os pesquisadores de malware, e os especialistas em segurança cibernética puderam observar todo o escopo das habilidades do JsOutProx. Uma vez inicializado, o JsOutProx soltará seus arquivos nas pastas% APPDATA% e% TEMP% e, em seguida, criará uma nova chave do Registro que ordena que o sistema inicie esses arquivos sempre que for inicializado. Depois de iniciado, o JsOutProx pode ser operado através de comandos remotos enviados pelo servidor de controle. Na sua forma atual, o implante é capaz de concluir as seguintes tarefas:

• Reinicie ou se atualize.
• Encerre-se e exclua seus arquivos.
• Controle a máquina infectada para reiniciar ou desligar.
• Execute um código JavaScript.
• Execute um código do Visual Basic.
• Durma por um tempo especificado.
• Carregue uma biblioteca de vínculo dinâmico '.NET'.

Além de oferecer suporte a esses comandos básicos, a funcionalidade do JsOutProx pode ser aprimorada com a instalação de plug-ins personalizados:

• Process Plugin - Permite que o operador interrompa processos ou execute novos.
• DNS Plugin - Pode modificar a configuração DNS da máquina infectada.
• Token Plugin - É usado para coletar a 'Senha de uso único do Symantec VIP', geralmente usada para autenticação multifatorial pelas empresas.
• Outlook Plugin - Coleta detalhes da conta, contatos e e-mails.
• Prompt Plugin - Exibe uma mensagem personalizada no dispositivo comprometido.

O JsOutProx parece ser o produto de desenvolvedores de malware experientes e é possível que um grupo de Ameaça Persistente Avançada (APT) esteja por trás de seu desenvolvimento. No entanto, nenhum nome notável foi vinculado a esta operação ainda. As versões mais recentes dos mecanismos antivírus devem poder detectar e remover o implante JsOutProx com facilidade.