JsOutProx

Эксперты по кибербезопасности определили новый испорченный скрипт, который распространяется в дикой природе под видом документа. Часто в этих поддельных документах, как правило, используется допустимое расширение файла, например «.RTF» или «.DOCX», но рассматриваемый имплантат поставляется в виде файла «.JS». Этот файл содержит фрагмент кода JavaScript, который состоит из более чем 10000 строк, и все они кажутся бессмысленными - это потому, что их авторы использовали многослойное запутывание, что делает очень трудным и трудоемким обратное проектирование запутывает и раскрывает реальное содержимое небезопасного имплантата.

Анализ скомпрометированного кода JavaScript выявил некоторые интересные детали о нем, такие как тот факт, что он запрограммирован для связи с управляющим сервером, расположенным в Осло, Норвегия. Кроме того, авторы имплантата (называемого JsOutProx) уделили особое внимание реализации методов антианализа и обфускации кода, которые очень затрудняют расшифровку и анализ поведения поврежденного скрипта.

Скомпрометированный JavaScript-имплант поддерживает широкий набор команд и плагинов

Тем не менее их усилий было недостаточно, чтобы остановить исследователей вредоносных программ, и эксперты по кибербезопасности смогли в полной мере оценить возможности JsOutProx. После инициализации JsOutProx поместит свои файлы в папки% APPDATA% и% TEMP%, а затем создаст новый раздел реестра, который дает команду системе запускать эти файлы при каждой загрузке. После запуска JsOutProx можно управлять с помощью удаленных команд, отправляемых с сервера управления. В своем нынешнем виде имплантат способен выполнять следующие задачи:

• Перезагрузите или обновите себя.
• Завершить себя и удалить свои файлы.
• Управляйте зараженной машиной, чтобы перезагрузить или выключить ее.
• Выполнить код JavaScript.
• Выполнить код Visual Basic.
• Спи в течение определенного времени.
• Загрузите библиотеку динамических ссылок .NET.

В дополнение к поддержке этих основных команд, функциональность JsOutProx может быть расширена путем установки пользовательских плагинов:

• Плагин процесса - позволяет оператору уничтожать процессы или запускать новые.
• Плагин DNS - может изменить конфигурацию DNS зараженной машины.
• Плагин Token - используется для сбора «одноразового пароля Symantec VIP», который часто используется для многофакторной проверки подлинности предприятиями.
• Плагин Outlook - собирает данные учетной записи, контакты и электронные письма.
• Prompt Plugin - отображает пользовательское сообщение на скомпрометированном устройстве.

JsOutProx, кажется, является продуктом опытных разработчиков вредоносных программ, и вполне возможно, что группа Advanced Persistent Threat (APT) может быть за ее разработкой. Однако ни одно заметное имя не было связано с этой операцией. Последние версии антивирусных механизмов должны легко обнаруживать и удалять имплантат JsOutProx.