恶意JScript加载器遭破解，揭示Xworm有效载荷执行流程

网络安全研究人员发现了一个复杂的多阶段攻击链，该攻击链利用 JScript 来提供危险的恶意软件有效载荷。

这种攻击采用复杂的混淆技术，最终根据受害者的地理位置提供 XWorm 或 Rhadamanthys 恶意软件。

此加载程序通过精心设计的执行流程运行，该流程从 JScript 开始，过渡到 PowerShell，最后以交付无文件恶意软件而告终。

攻击通常通过计划任务或涉及虚假 CAPTCHA 的 ClickFix 攻击发起。

受害者以 mshta.exe 命令为目标，该命令执行混淆的 JScript 代码，进而生成 PowerShell 命令。

该技术允许攻击者通过利用合法的 Windows 组件来执行恶意代码来绕过传统的安全措施。

最初的感染媒介表明攻击者在利用系统信任关系方面非常老练。

执行时，JScript 加载程序通过巧妙地将随机排序的数组元素重新组合到一个连贯的脚本中来创建 PowerShell 命令。

然后，此脚本通过查询外部 API 来执行地理位置检查，以确定受害者是否位于美国，从而相应地指导攻击流程。

Sophos 研究人员将这种地理围栏交付策略确定为针对特定区域的故意尝试，同时减少不必要的暴露。

研究人员指出，这种基于位置的有效负载交付代表了目标恶意软件分发技术的演变，允许威胁行为者根据地理考虑定制攻击。

该恶意软件实施了彻底的反取证措施，包括终止竞争进程和从各种系统目录中删除潜在证据文件。

它会创建持续的感染路径，同时保持低调以逃避安全解决方案的检测。

执行流分析

这种恶意软件最有趣的方面是其复杂的执行流程。在初始 JScript 执行后，加载程序将启动一个多阶段的去混淆过程。

JScript 到 PowerShell 加载程序流

PowerShell 代码的示例揭示了它的复杂性：-

# Define the execution block#{{E}={    # Define the type and method names    ${T} = [char[]]@('A', '.', 'B')    ${M} = [char[]]@('C')    # Get the type and method from the loaded assembly    ${Y} = $I.GetType((${T} -join ''))    ${N} = ${Y}.GetMethod((${M} -join ''))

此代码片段演示了恶意软件如何使用 PowerShell 反射动态加载恶意组件，同时逃避检测。

加载程序将十进制编码的数据转换为可执行代码，然后将其注入合法的 Windows 进程（如 RegSvcs.exe）。

最终的有效负载因地理位置而异。美国的受害者会收到 XWorm，这是一种能够执行 DDoS 攻击和加密货币剪贴板劫持的远程访问木马。

非美国受害者感染了 Rhadamanthys，这是一种复杂的 C++ 信息窃取程序，它使用 AI 驱动的图像识别来识别加密货币钱包助记词。

此分析重点介绍了现代恶意软件分发技术的演变，将复杂的混淆与有针对性的传递机制相结合，以最大限度地提高感染成功率，同时最大限度地减少检测。

建议安全专业人员实施强大的检测机制，专注于识别可疑的 PowerShell 执行链和无文件注入技术。

原文来自: cybersecuritynews.com