Licences multi-appareils (remises sur volume)
Threat Database Malware JsOutProx

JsOutProx

Par GoldSparrow en Malware
Se traduisent par :
Français

Les experts en cybersécurité ont identifié un nouveau script corrompu qui se répand dans la nature déguisé en document. Souvent, ces faux documents ont tendance à utiliser une extension de fichier valide comme '.RTF' ou '.DOCX' mais l'implant en question arrive sous forme de fichier '.JS'. Ce fichier contient un morceau de code JavaScript composé de plus de 10 000 lignes, et toutes semblent dépourvues de sens - cela est dû au fait que leurs auteurs ont utilisé l'obfuscation multicouche, ce qui rend très difficile et chronophage l'ingénierie inverse du obscurcissement et révèle le contenu réel de l'implant dangereux.

L'analyse du code JavaScript compromis a révélé quelques détails intéressants à ce sujet, comme le fait qu'il est programmé pour communiquer avec un serveur de contrôle situé à Oslo, en Norvège. De plus, les auteurs de l'implant (appelé JsOutProx) ont accordé une attention particulière à la mise en œuvre de techniques d'anti-analyse et d'obscurcissement de code qui rendent très difficile le déchiffrement et l'analyse du comportement du script corrompu.

Un implant JavaScript compromis prend en charge un large éventail de commandes et de plugins

Néanmoins, leurs efforts n'ont pas été suffisants pour arrêter les chercheurs de logiciels malveillants, et les experts en cybersécurité ont pu observer toute l'étendue des capacités de JsOutProx. Une fois initialisé, JsOutProx déposera ses fichiers dans les dossiers% APPDATA% et% TEMP%, puis créera une nouvelle clé de registre qui commande au système de démarrer ces fichiers à chaque démarrage. Après son démarrage, JsOutProx peut être utilisé via des commandes à distance envoyées par le serveur de contrôle. Dans sa forme actuelle, l'implant est en mesure d'effectuer les tâches suivantes:

  • Redémarrez ou mettez à jour lui-même.
  • Se résilier et supprimer ses fichiers.
  • Contrôlez la machine infectée pour redémarrer ou éteindre.
  • Exécutez un code JavaScript.
  • Exécutez un code Visual Basic.
  • Dormez un certain temps.
  • Chargez une bibliothèque de liens dynamiques '.NET'.

En plus de prendre en charge ces commandes de base, la fonctionnalité de JsOutProx peut être améliorée avec l'installation de plugins développés sur mesure:

  • Plugin de processus - Permet à l'opérateur de tuer les processus ou d'en exécuter de nouveaux.
  • Plugin DNS - Peut modifier la configuration DNS de la machine infectée.
  • Plugin de jeton - Il est utilisé pour collecter le «mot de passe unique Symantec VIP» qui est souvent utilisé pour l'authentification multifactorielle par les entreprises.
  • Plugin Outlook - Collecte les détails du compte, les contacts et les e-mails.
  • Plugin d'invite - Affiche un message personnalisé sur le périphérique compromis.

JsOutProx semble être le produit de développeurs de logiciels malveillants expérimentés, et il est possible qu'un groupe Advanced Persistent Threat (APT) soit à l'origine de son développement. Cependant, aucun nom notable n'a encore été lié à cette opération. Les dernières versions des moteurs antivirus devraient être capables de détecter et de retirer facilement l'implant JsOutProx.

Tendance

Le plus regardé

Chargement...