Noua familie de programe malware JavaSquid

Astfel de tehnici de compromitere inițială indică faptul că actorii amenințării din spatele campaniei caută infecții oportuniste și, prin urmare, acționează probabil cu motivație financiară, eventual în calitate de IAB (Initial Access Broker). Pe baza locației trimiterilor eșantionului, este foarte probabil ca ținta campaniei să fie în principal Europa. 

Domeniul Watering Hole utilizat pentru a păcăli victimele și pentru a servi malware-ul este protejat de Cloudflare. Cu toate acestea, exemplarul lor de malware va contacta un domeniu diferit care se rezolvă la o adresă IP care este, de asemenea, indicată de multe alte domenii. Multe dintre diferitele domenii care indică aceeași adresă IP par, de asemenea, să fie legate de ademenirea AI-tech și de impersonarea altor companii.  

În mod interesant, cercetarea noastră OSINT a indicat că adresa IP C2 a fost anterior legată de hoții Lumma și Poseidon. În timp ce furtul Lumma ar fi fost bazat pe vechiul furtul Mars, Poseidon este o familie de malware descoperită foarte recent, scrisă în AppleScript, vizând astfel mediile iOS. Faptul că această familie nouă este scrisă în JavaScript ar putea indica faptul că actorul de amenințare din spatele activității ar putea trece la un limbaj de scripting care ar putea fi utilizat în diferite medii. Un alt aspect care trebuie subliniat este faptul că adresa IP aparține unui ISP chinez (Chang Way Technologies Co. Limited), în timp ce gazda este geolocalizată în Federația Rusă. 

Eșantionul inițial de malware avea o semnătură digitală validă în momentul în care l-am analizat prima dată (9 noiembrie 2024), emisă de o companie chineză "Taigu Fulong Electronic Tech Co., Ltd". Cu toate acestea, am observat că în timpul investigației noastre aceasta fusese deja revocată. 

În timp ce căutam eșantioane similare cu ajutorul motorului nostru de căutareSandbox , am găsit un set de eșantioane din aceeași familie care foloseau același certificat digital probabil furat, dar și două seturi noi de eșantioane. Unul dintre seturi nu avea nicio semnătură digitală, în timp ce celălalt folosea un certificat digital diferit. Toate eșantioanele au urmat aceleași modele și tehnici de a pretinde că sunt un instrument utilitar legitim pe baza numelor lor diferite (ai_Generation.exe, sweethome3d.exe, Installer_capcut_pro_x64.exe...). 

PE este un malware JavaScript compilat, care utilizează instrumentul pkg pentru a transforma codul JavaScript într-un PE Windows. Compilarea JavaScript pare să fie în creștere în peisajul amenințărilor, după cum au raportat recent alți cercetători. Instrumentul menționat împachetează o sarcină utilă JavaScript într-un PE Windows prin încorporarea unui interpretor Node JS/V8 cu opțiunea de a compila codul în bytecode V8, încorporând astfel în PE fie codul textului clar, fie un bytecode compilat JavaScript. Extragerea versiunii în text clar este trivială în majoritatea cazurilor, deși, Metadefender Sandbox poate extrage codul compilat sub forma unui fișier JSC (JavaScript Compiled file) și îl poate dezasambla pentru o analiză ulterioară. 

Sarcina utilă JavaScript deține sarcina utilă relevantă codificată base64, o decodifică și o execută utilizând funcția eval. Această sarcină utilă decodificată începe prin a executa o verificare rapidă a dimensiunii RAM, probabil pentru a evita execuția în mediile de analiză. În timp ce multe sandboxuri tradiționale nu ar trece de această verificare, Metadefender Sandbox efectuează o analiză mai profundă a întregului cod JavaScript, permițând declanșarea indicatorilor relevanți. 

Atunci când verificarea este acceptată, exemplul va executa o cerere HTTP către o adresă URL a unui eveniment Google Calendar, care stochează în descrierea sa o a doua adresă URL în format base64. 

URL-ul decodificat trimite la un domeniu controlat de atacator, care servește un nou payload base64 după solicitarea corespunzătoare. La decodarea noului payload JavaScript, acesta este, de asemenea, executat imediat utilizând funcția eval. Acest cod JavaScript suplimentar decriptează și execută o sarcină utilă hardcoded de nivel suplimentar utilizând criptarea AES.  

În mod interesant, cheile IV și AES sunt obținute din antetele de răspuns ale ultimei cereri HTTP, care, după cum am observat, sunt diferite la fiecare cerere, ceea ce înseamnă că sarcina utilă și antetele servite sunt create în mod dinamic la fiecare cerere către C2 pentru a fi decriptate cu chei diferite. În plus, sarcina utilă decriptată pare să fie întotdeauna aceeași, dar cu o ofuscare diferită, ceea ce arată că nu numai criptarea, ci și ofuscarea are loc în mod dinamic la fiecare cerere. Această tehnică ar putea nu numai să împiedice analiza criminalistică în cazul unui incident sau cercetarea amenințărilor, dar ar putea, de asemenea, să se sustragă detecțiilor bazate pe semnături, deoarece ofuscarea este diferită la fiecare cerere. 

Acest modul nou decriptat este foarte ofuscat și aduce mai multe funcționalități eșantionului prin adăugarea codului unor biblioteci suplimentare, în principal pentru a se ocupa de operațiunile cu fișiere și de funcționalitățile zip folosind modulul adm. În plus, acesta introduce diferite fișiere în diferite subdirectoare %appdata%\Local, folosind denumiri aleatorii. 

Unul dintre fișierele eliminate este un script PowerShell numit run.ps1, care conține codul de instalare a programului de instalare MSI NodeJS pentru lansarea ulterioară a sarcinii utile JavaScript finale utilizând NodeJS instalat, în locul sarcinii utile JavaScript compilate inițial. 

În acest moment, execuția va declanșa un mesaj de eroare pentru utilizator sub forma unui pop-up, care probabil va face victima să creadă că "software-ul AI" așteptat (ProAI.exe) nu poate rula pe sistemul său, deturnându-i atenția de la infecția JavaSquid în curs. Această sarcină utilă JavaScript din ultima etapă va descărca, de asemenea, un ultim fișier JavaScript utilizând același mecanism de contactare a calendarelor Google, apoi de contactare a domeniului lor controlat utilizând antetele de răspuns HTTP pentru a decripta sarcina utilă servită în final. De data aceasta, sarcina utilă finală va fi salvată ca index.js într-un director cu un nume aleatoriu situat în interiorul directorului %appdata%/Romaing. 

Fișierul run.ps1 anterior va fi înlocuit ulterior cu un alt script PowerShell cu același nume și, de asemenea, executat imediat. După cum putem vedea din captura de ecran, acest script este utilizat doar pentru a obține persistență pe mașină, în timp ce codul principal al malware-ului a fost scris în index.js. 

Fișiere suplimentare eliminate de malware: 

• VeqVMR.zip (nume generat aleatoriu): Descărcat de la același C2. Acesta conține doar un instalator Notepad (npp.8.6.6.Installer.exe), aparent fără impact asupra comportamentului general. 
• bypass.ps1: utilizat pentru a executa fișierul run.ps1 menționat anterior, ocolind restricția de execuție a scripturilor powershell. 
• NiOihmgUci.msi (nume generat aleatoriu): program de instalare nodejs, preluat de pe site-ul său oficial. 
• Update.lnk: Aruncat în folderul de pornire, acesta va indica scriptul PowerShell run.ps1.