JsOutProx
サイバーセキュリティの専門家は、文書として偽装して広まっている新しい破損したスクリプトを特定しました。多くの場合、これらの偽のドキュメントは「.RTF」や「.DOCX」などの有効なファイル拡張子を使用する傾向がありますが、問題のインプラントは「.JS」ファイルとして届きます。このファイルには、10,000行を超えるJavaScriptコードが含まれていますが、それらはすべて無意味に見えます。これは、作成者が多層難読化を使用しているためです。難読化と安全でないインプラントの実際の内容を明らかにします。
侵害されたJavaScriptコードの分析により、ノルウェーのオスロにある制御サーバーと通信するようにプログラムされているなど、コードに関する興味深い詳細が明らかになりました。さらに、インプラントの作成者(JsOutProxと呼ばれます)は、破損したスクリプトの動作を解読および分析するのを非常に困難にするアンチ分析およびコード難読化技術の実装に特に注意を払っています。
妥協したJavaScriptインプラントが幅広いコマンドとプラグインをサポート
それでも、彼らの努力はマルウェア研究者を止めるのに十分ではなく、サイバーセキュリティの専門家はJsOutProxの能力の全範囲を観察することができました。初期化されると、JsOutProxはファイルを%APPDATA%および%TEMP%フォルダーにドロップし、システムが起動するたびにこれらのファイルを起動するようにシステムに命令する新しいレジストリキーを作成します。 JsOutProxは、開始後、制御サーバーから送信されるリモートコマンドを介して操作できます。現在の形態では、インプラントは次のタスクを完了することができます。
- 自身を再起動または更新します。
- 自分自身を終了し、そのファイルを削除します。
- 感染したマシンを制御して、再起動またはオフにします。
- JavaScriptコードを実行します。
- Visual Basicコードを実行します。
- 指定された時間だけスリープします。
- 「.NET」ダイナミックリンクライブラリをロードします。
これらの基本的なコマンドのサポートに加えて、カスタム開発プラグインのインストールにより、JsOutProxの機能を強化できます。
- プロセスプラグイン -オペレーターがプロセスを強制終了したり、新しいプロセスを実行したりできるようにします。
- DNSプラグイン –感染したマシンのDNS構成を変更できます。
- トークンプラグイン –ビジネスで多要素認証によく使用される「Symantec VIPワンタイムパスワード」の収集に使用されます。
- Outlookプラグイン -アカウントの詳細、連絡先、メールを収集します。
- プロンプトプラグイン -侵害されたデバイスにカスタムメッセージを表示します。
JsOutProxは、経験豊富なマルウェア開発者の製品であるように思われ、Advanced Persistent Threat(APT)グループが開発の背後にいる可能性があります。ただし、この操作にリンクされている注目すべき名前はまだありません。ウイルス対策エンジンの最新バージョンは、JsOutProxインプラントを簡単に検出して削除できるはずです。