一场复杂的恶意软件攻击活动已然出现,其利用虚假的在线速度测试应用程序,在Windows系统上部署经过混淆处理的JavaScript有效载荷。
这些恶意工具伪装成合法的网络速度测试工具、手册阅读器、PDF工具以及各种搜索前端,诱骗毫无防备的用户安装在后台秘密运行的危险代码。
当用户从遭入侵或恶意的域名(如onlinespeedtestservice[.]com)下载看似功能正常的测速应用程序时,攻击便开始了。
安装后,该应用程序会提供其宣传的功能,营造出一种虚假的安全感,同时部署一个隐藏的Node.js运行时环境以及大量经过高度混淆处理的JavaScript文件。
可见的可执行文件按预期运行,在恶意组件在系统中扎根的同时维持着用户的信任。
Security Magic的分析师发现,这些应用程序是使用Inno-Packer安装程序打包的,该安装程序将合法功能与恶意组件捆绑在一起,包括便携式Node运行时、计划任务配置以及与应用程序主要功能无关的混淆JavaScript有效载荷。
这种恶意软件独立于主可执行文件运行,极大地扩大了攻击面,并为威胁行为者提供了对受感染系统的持久访问权限。
这种感染通过计划任务建立持久性,这些计划任务大约每12小时执行一次恶意JavaScript有效载荷。
这个JavaScript组件与命令和控制服务器(特别是cloud.appusagestats.com)保持加密通信,并具备执行远程服务器发送的任意代码的能力。
该恶意软件会查询系统信息,包括Windows注册表项HKLM\Software\Microsoft\Cryptography\MachineGuid,以收集机器标识数据并传输给攻击者。
高级混淆与命令执行机制
这个JavaScript有效载荷采用了复杂的混淆技术,以在安全分析中隐藏其真实目的。
研究人员发现,这段混淆代码包含经过编码的字符串,通过修补解码函数的返回语句可以对这些字符串进行解码。
解码后,JavaScript会揭示其与命令和控制基础设施之间的通信协议。该恶意软件会传输包含版本信息、系统标识符和功能标志的JSON格式数据。
对网络通信的分析显示,该有效载荷能够接收并执行PowerShell命令,研究人员观察到的测试执行通过Windows Forms程序集显示了消息框。
该命令执行机制利用Node.js的child_process模块来生成系统进程,能够以用户权限执行任意代码,同时通过隐藏窗口模式和无配置文件的PowerShell执行来保持隐蔽性。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
