JSDropperLoader
Дроппер вредоносного ПО на JavaScript с трехуровневым шифрованием: внешний XOR(20/142), специальный AES-256 с модифицированным S-BOX/RCON, а затем встроенный загрузчик PowerShell. Нацеливается на MSBuild.exe посредством очистки процесса. Использует пространство имен сборки OmniCascade (QuartzMediator, PhantomLinker). Пользовательская кодировка ConvertFrom-Base28 для встроенных больших двоичных объектов. Выполнение через WScript.Shell.Run() и ADODB.Stream. Совместимость с XLoader/ModiLoader/I.
Профиль угрозы
Тип
Loader
Язык программированияJavaScript/PowerShell
C2 ПротоколHTTP/custom
Первое обнаружение2024
Цели
Kuresel
Назначение / Возможности
- Загрузчик/дроппер/технологическая полость
Для этого семейства пока не обнаружено C2-серверов.
Исследовательские отчёты (1)
JSDropper 06cd8dcf -- XOR Custom AES-256 Modified SBOX PowerShell MSBuild Hollow OmniCascade QuartzMediator WScript ADODB ConvertFrom-Base28 XLoader ModiLoader | Kritik
JSDropper 06cd8dcf JS 804KB. 3 katman: XOR + Ozel AES-256 (degis SBOX) + PSLoader. MSBuild.exe hollow. OmniCascade assembly. WScript.Shell.Run ADODB.Stream.
Читать отчёт →