JSDropperLoader

3 層暗号化を備えた JavaScript マルウェア ドロッパー: XOR(20/142) 外部、修正された S-BOX/RCON を備えたカスタム AES-256、その後埋め込まれた PowerShell ローダー。プロセスハローイングを介して MSBuild.exe をターゲットにします。 OmniCascade アセンブリ名前空間 (QuartzMediator、PhantomLinker) を使用します。 ConvertFrom-Base28 埋め込み BLOB のカスタム エンコード。 WScript.Shell.Run() および ADODB.Stream を介した実行。 XLoader/ModiLoader/I と一致

脅威プロファイル
タイプ Loader
プログラミング言語JavaScript/PowerShell
C2プロトコルHTTP/custom
初回検出2024
標的 Kuresel
目的 / 機能
  • ローダー/ドロッパー/プロセスホロウ
このファミリーのC2サーバーはまだ確認されていません。

リサーチレポート (1)

重大

JSDropper 06cd8dcf -- XOR Custom AES-256 Modified SBOX PowerShell MSBuild Hollow OmniCascade QuartzMediator WScript ADODB ConvertFrom-Base28 XLoader ModiLoader | Kritik

JSDropper 06cd8dcf JS 804KB. 3 katman: XOR + Ozel AES-256 (degis SBOX) + PSLoader. MSBuild.exe hollow. OmniCascade assembly. WScript.Shell.Run ADODB.Stream.

レポートを読む →