JSDropperLoader

Conta-gotas de malware JavaScript com criptografia de 3 camadas: XOR(20/142) externo, AES-256 personalizado com S-BOX/RCON modificado e, em seguida, carregador PowerShell incorporado. Tem como alvo o MSBuild.exe por meio do esvaziamento do processo. Usa namespace de montagem OmniCascade (QuartzMediator, PhantomLinker). Codificação personalizada ConvertFrom-Base28 para blobs incorporados. Execução via WScript.Shell.Run() e ADODB.Stream. Consistente com XLoader/ModiLoader/I

Perfil de ameaça
Tipo Loader
Linguagem de programaçãoJavaScript/PowerShell
Protocolo C2HTTP/custom
Primeira detecção2024
Alvos Kuresel
Propósito / Capacidades
  • Carregador/conta-gotas/processo oco
Nenhum servidor C2 foi identificado para esta família ainda.

Relatórios de pesquisa (1)

Crítico

JSDropper 06cd8dcf -- XOR Custom AES-256 Modified SBOX PowerShell MSBuild Hollow OmniCascade QuartzMediator WScript ADODB ConvertFrom-Base28 XLoader ModiLoader | Kritik

JSDropper 06cd8dcf JS 804KB. 3 katman: XOR + Ozel AES-256 (degis SBOX) + PSLoader. MSBuild.exe hollow. OmniCascade assembly. WScript.Shell.Run ADODB.Stream.

Ler relatório →