Licenca për shumë pajisje (Zbritje në vëllim)
Threat Database Malware JsOutProx

JsOutProx

Nga GoldSparrowMalware
Përkthe në:
Shqip

Ekspertët e sigurisë në internet kanë identifikuar një skenar të ri të korruptuar që po përhapet në shkretëtirë të maskuar si një dokument. Shpesh, këto dokumente të rreme kanë tendencë të përdorin një skedar të vlefshëm skedar si '.RTF' ose '.DOCX', por implanti në fjalë arrin si një skedar '.JS'. Ky skedar përmban një pjesë të kodit JavaScript i cili përbëhet nga mbi 10,000 rreshta, dhe të gjitha ato duket se janë të pakuptimta - kjo për shkak se autorët e tyre kanë përdorur obuskulim me shumë shtresa, gjë që e bën shumë të vështirë dhe kërkon kohë për inxhinierin e kundërt bezdisje dhe zbulon përmbajtjen e vërtetë të implantit të pasigurt.

Analiza e kodit të kompromentuar JavaScript zbuloi disa detaje interesante rreth tij, siç është fakti se është programuar të komunikojë me një server kontrolli të vendosur në Oslo, Norvegji. Për më tepër, autorët e implantit (të quajtur JsOutProx) i kanë kushtuar vëmendje të madhe zbatimit të teknikave anti-analizë dhe obfuskimit të kodit që e bëjnë shumë të vështirë deshifrimin dhe analizimin e sjelljes së korruptuar të skenarit.

Një implant i kompromentuar JavaScript mbështet një varg të gjerë komandash dhe shtojcash

Sidoqoftë, përpjekjet e tyre nuk ishin të mjaftueshme për të ndaluar studiuesit e malware, dhe ekspertët e sigurisë në internet kanë qenë në gjendje të vëzhgojnë fushën e plotë të aftësive të JsOutProx. Pasi të inicializohet, JsOutProx do t'i lëshojë skedarët e tij në dosjet% APPDATA% dhe% TEMP%, dhe pastaj të krijojë një çelës të ri Regjistri që komandon sistemin të fillojë këto skedarë sa herë që ngrihet. Pasi të fillohet, JsOutProx mund të operohet përmes komandave në distancë të dërguara nga serveri i kontrollit. Në formën e tij aktuale, implanti është në gjendje të kryejë detyrat e mëposhtme:

  • Rinisni ose azhurnoni vetë.
  • Përfundoni vetë dhe fshini skedarët e saj.
  • Kontrolloni makinën e infektuar për të rifilluar ose fikur.
  • Ekzekutoni një kod JavaScript.
  • Ekzekutoni një kod Visual Basic.
  • Flini për një kohë të caktuar.
  • Ngarkoni bibliotekën e lidhjeve dinamike '.NET'.

Përveç mbështetjes së këtyre komandave themelore, funksionaliteti i JsOutProx mund të përmirësohet me instalimin e shtojcave të zhvilluara me porosi:

  • Proces Plugin - i mundëson operatorit të shkatërrojë procese ose të ekzekutojë të reja.
  • DNS Plugin - Mund të modifikojë konfigurimin e DNS të makinës së infektuar.
  • Token Plugin - Përdoret për të mbledhur 'Fjalënkalimin VIP One Time të Symantec' që shpesh përdoret për të vërtetuar multifaktorin nga bizneset.
  • Outlook Plugin - Mbledh detaje të llogarisë, kontakte dhe email.
  • Prompt Plugin - Shfaq një mesazh me porosi në pajisjen e komprometuar.

JsOutProx duket të jetë produkt i zhvilluesve me përvojë të malware, dhe është e mundur që një grup i Përparuar i Përhershëm (APT) mund të jetë prapa zhvillimit të tij. Sidoqoftë, asnjë emër i dukshëm nuk është lidhur ende me këtë operacion. Versionet e fundit të motorëve antivirus duhet të jenë në gjendje të zbulojnë dhe heqin implantin JsOutProx me lehtësi.

Në trend

Më e shikuara

Po ngarkohet...