Mehrgerätelizenzen (Mengenrabatte)
Threat Database Malware JsOutProx

JsOutProx

Von GoldSparrow in Malware
Übersetzen Sie in:
Deutsch

Cybersicherheitsexperten haben ein neues beschädigtes Skript identifiziert, das als Dokument getarnt in der Öffentlichkeit verbreitet wird. Häufig verwenden diese gefälschten Dokumente eine gültige Dateierweiterung wie ".RTF" oder ".DOCX", das betreffende Implantat wird jedoch als ".JS" -Datei geliefert. Diese Datei enthält einen JavaScript-Code, der aus über 10.000 Zeilen besteht, und alle scheinen bedeutungslos zu sein. Dies liegt daran, dass die Autoren eine mehrschichtige Verschleierung verwendet haben, was das Reverse-Engineering der Datei sehr schwierig und zeitaufwendig macht Verschleierung und enthüllt den tatsächlichen Inhalt des unsicheren Implantats.

Die Analyse des kompromittierten JavaScript-Codes ergab einige interessante Details, z. B. die Tatsache, dass er für die Kommunikation mit einem Steuerungsserver in Oslo, Norwegen, programmiert ist. Darüber hinaus haben die Autoren des Implantats (JsOutProx) der Implementierung von Anti-Analyse- und Code-Obfuscation-Techniken besondere Aufmerksamkeit gewidmet, die es sehr schwierig machen, das Verhalten des beschädigten Skripts zu entschlüsseln und zu analysieren.

Ein kompromittiertes JavaScript-Implantat unterstützt eine Vielzahl von Befehlen und Plugins

Dennoch reichten ihre Bemühungen nicht aus, um Malware-Forscher aufzuhalten, und Cybersicherheitsexperten konnten den vollen Umfang der Fähigkeiten von JsOutProx beobachten. Nach der Initialisierung legt JsOutProx die Dateien in den Ordnern% APPDATA% und% TEMP% ab und erstellt dann einen neuen Registrierungsschlüssel, der das System anweist, diese Dateien bei jedem Start zu starten. Nach dem Start kann JsOutProx über vom Steuerungsserver gesendete Remote-Befehle bedient werden. In seiner jetzigen Form kann das Implantat die folgenden Aufgaben erfüllen:

  • Starten Sie neu oder aktualisieren Sie sich.
  • Beenden Sie sich selbst und löschen Sie seine Dateien.
  • Steuern Sie den infizierten Computer, um ihn neu zu starten oder auszuschalten.
  • Führen Sie einen JavaScript-Code aus.
  • Führen Sie einen Visual Basic-Code aus.
  • Schlaf für eine bestimmte Zeit.
  • Laden Sie eine '.NET'-Bibliothek für dynamische Links.

Zusätzlich zur Unterstützung dieser grundlegenden Befehle kann die Funktionalität von JsOutProx durch die Installation von benutzerdefinierten Plugins erweitert werden:

  • Prozess-Plugin - Ermöglicht dem Bediener, Prozesse abzubrechen oder neue auszuführen.
  • DNS-Plugin - Kann die DNS-Konfiguration des infizierten Computers ändern.
  • Token-Plugin - Es wird verwendet, um das "Symantec VIP-Einmalkennwort" zu erfassen, das von Unternehmen häufig für die Multifaktor-Authentifizierung verwendet wird.
  • Outlook Plugin - Sammelt Kontodetails, Kontakte und E-Mails.
  • Prompt Plugin - Zeigt eine benutzerdefinierte Nachricht auf dem betroffenen Gerät an.

JsOutProx scheint das Produkt erfahrener Malware-Entwickler zu sein, und möglicherweise steht eine Advanced Persistent Threat (APT) -Gruppe hinter ihrer Entwicklung. Es wurde jedoch noch kein bekannter Name mit diesem Vorgang verknüpft. Die neuesten Versionen der Antiviren-Engines sollten das JsOutProx-Implantat problemlos erkennen und entfernen können.

Im Trend

Am häufigsten gesehen

Wird geladen...