JSDropperLoader
JavaScript-Malware-Dropper mit 3-Ebenen-Verschlüsselung: XOR(20/142) außen, benutzerdefiniertes AES-256 mit modifizierter S-BOX/RCON, dann eingebetteter PowerShell-Loader. Zielt über Process Hollowing auf MSBuild.exe ab. Verwendet den OmniCascade-Assembly-Namespace (QuartzMediator, PhantomLinker). Benutzerdefinierte ConvertFrom-Base28-Codierung für eingebettete Blobs. Ausführung über WScript.Shell.Run() und ADODB.Stream. Konsistent mit XLoader/ModiLoader/I
Bedrohungsprofil
Typ
Loader
ProgrammierspracheJavaScript/PowerShell
C2-ProtokollHTTP/custom
Erstmals gesehen2024
Ziele
Kuresel
Zweck / Fähigkeiten
- Lader/Tropfer/Prozesshohlraum
Für diese Familie wurden noch keine C2-Server identifiziert.
Forschungsberichte (1)
JSDropper 06cd8dcf -- XOR Custom AES-256 Modified SBOX PowerShell MSBuild Hollow OmniCascade QuartzMediator WScript ADODB ConvertFrom-Base28 XLoader ModiLoader | Kritik
JSDropper 06cd8dcf JS 804KB. 3 katman: XOR + Ozel AES-256 (degis SBOX) + PSLoader. MSBuild.exe hollow. OmniCascade assembly. WScript.Shell.Run ADODB.Stream.
Bericht lesen →