JsOutProx

Los expertos en ciberseguridad han identificado un nuevo script corrupto que se está difundiendo en la naturaleza disfrazado de documento. A menudo, estos documentos falsos tienden a usar una extensión de archivo válida como '.RTF' o '.DOCX', pero el implante en cuestión llega como un archivo '.JS'. Este archivo contiene un fragmento de código JavaScript que consta de más de 10,000 líneas, y todas ellas parecen no tener sentido; esto se debe a que sus autores han utilizado la ofuscación de múltiples capas, lo que hace que sea muy difícil y lento realizar ingeniería inversa. ofuscación y revela los contenidos reales del implante inseguro.

El análisis del código JavaScript comprometido reveló algunos detalles interesantes al respecto, como el hecho de que está programado para comunicarse con un servidor de control situado en Oslo, Noruega. Además, los autores del implante (llamado JsOutProx) han prestado especial atención a la implementación de técnicas de análisis y de ofuscación de código que hacen que sea muy difícil descifrar y analizar el comportamiento del script dañado.

Un implante de JavaScript comprometido admite una amplia gama de comandos y complementos

Sin embargo, sus esfuerzos no fueron suficientes para detener a los investigadores de malware, y los expertos en ciberseguridad han podido observar el alcance completo de las capacidades de JsOutProx. Una vez inicializado, JsOutProx soltará sus archivos en las carpetas% APPDATA% y% TEMP%, y luego creará una nueva clave de Registro que ordena al sistema que inicie estos archivos cada vez que se inicie. Después de que se inicia, JsOutProx se puede operar a través de comandos remotos enviados desde el servidor de control. En su forma actual, el implante puede completar las siguientes tareas:

• Reiniciar o actualizarse a sí mismo.
• Terminar y eliminar sus archivos.
• Controle la máquina infectada para reiniciar o apagar.
• Ejecuta un código JavaScript.
• Ejecute un código de Visual Basic.
• Dormir por un tiempo específico.
• Cargue una biblioteca de enlaces dinámicos '.NET'.

Además de admitir estos comandos básicos, la funcionalidad de JsOutProx se puede mejorar con la instalación de complementos personalizados:

• Complemento de proceso : permite al operador eliminar procesos o ejecutar otros nuevos.
• Complemento DNS : puede modificar la configuración DNS de la máquina infectada.
• Complemento de token : se utiliza para recopilar la 'Contraseña de un solo uso VIP de Symantec' que las empresas suelen utilizar para la autenticación multifactor.
• Complemento de Outlook : recopila detalles de la cuenta, contactos y correos electrónicos.
• Complemento de solicitud : muestra un mensaje personalizado en el dispositivo comprometido.

JsOutProx parece ser el producto de desarrolladores experimentados de malware, y es posible que un grupo de Amenaza Persistente Avanzada (APT) pueda estar detrás de su desarrollo. Sin embargo, todavía no se ha vinculado ningún nombre notable a esta operación. Las últimas versiones de los motores antivirus deberían poder detectar y retirar el implante JsOutProx con facilidad.