JSDropperLoader
Conta-gotas de malware JavaScript com criptografia de 3 camadas: XOR(20/142) externo, AES-256 personalizado com S-BOX/RCON modificado e, em seguida, carregador PowerShell incorporado. Tem como alvo o MSBuild.exe por meio do esvaziamento do processo. Usa namespace de montagem OmniCascade (QuartzMediator, PhantomLinker). Codificação personalizada ConvertFrom-Base28 para blobs incorporados. Execução via WScript.Shell.Run() e ADODB.Stream. Consistente com XLoader/ModiLoader/I
Perfil de ameaça
Tipo
Loader
Linguagem de programaçãoJavaScript/PowerShell
Protocolo C2HTTP/custom
Primeira detecção2024
Alvos
Kuresel
Propósito / Capacidades
- Carregador/conta-gotas/processo oco
Nenhum servidor C2 foi identificado para esta família ainda.
Relatórios de pesquisa (1)
JSDropper 06cd8dcf -- XOR Custom AES-256 Modified SBOX PowerShell MSBuild Hollow OmniCascade QuartzMediator WScript ADODB ConvertFrom-Base28 XLoader ModiLoader | Kritik
JSDropper 06cd8dcf JS 804KB. 3 katman: XOR + Ozel AES-256 (degis SBOX) + PSLoader. MSBuild.exe hollow. OmniCascade assembly. WScript.Shell.Run ADODB.Stream.
Ler relatório →