JSDropperLoader
"3계층 암호화를 갖춘 JavaScript 악성 코드 드로퍼: XOR(20/142) 외부, 수정된 S-BOX/RCON을 갖춘 사용자 정의 AES-256, 내장된 PowerShell 로더. 프로세스 비우기를 통해 MSBuild.exe를 대상으로 합니다. OmniCascade 어셈블리 네임스페이스(QuartzMediator, PhantomLinker)를 사용합니다. 포함된 Blob에 대한 ConvertFrom-Base28 사용자 지정 인코딩입니다. WScript.Shell.Run() 및 ADODB.Stream을 통한 실행. XLoader/ModiLoader/I와 일치"
위협 프로필
유형
Loader
프로그래밍 언어JavaScript/PowerShell
C2 프로토콜HTTP/custom
첫 감지2024
대상
Kuresel
목적 / 기능
- "로더/드로퍼/프로세스 중공"
이 패밀리에 대해 아직 확인된 C2 서버가 없습니다.
연구 보고서 (1)
JSDropper 06cd8dcf -- XOR Custom AES-256 Modified SBOX PowerShell MSBuild Hollow OmniCascade QuartzMediator WScript ADODB ConvertFrom-Base28 XLoader ModiLoader | Kritik
JSDropper 06cd8dcf JS 804KB. 3 katman: XOR + Ozel AES-256 (degis SBOX) + PSLoader. MSBuild.exe hollow. OmniCascade assembly. WScript.Shell.Run ADODB.Stream.
보고서 읽기 →