JSDropperLoader

具有 3 层加密的 JavaScript 恶意软件植入程序:XOR(20/142) 外部、自定义 AES-256 以及修改后的 S-BOX/RCON,然后嵌入 PowerShell 加载程序。通过进程空洞攻击 MSBuild.exe。使用 OmniCascade 程序集命名空间(QuartzMediator、PhantomLinker)。 ConvertFrom-Base28 嵌入 blob 的自定义编码。通过 WScript.Shell.Run() 和 ADODB.Stream 执行。与XLoader/ModiLoader/I一致

威胁档案
类型 Loader
编程语言JavaScript/PowerShell
C2协议HTTP/custom
首次发现2024
目标 Kuresel
用途 / 能力
  • 装载机/滴料机/工艺空心
尚未发现该家族的 C2 服务器。

研究报告 (1)

严重

JSDropper 06cd8dcf -- XOR Custom AES-256 Modified SBOX PowerShell MSBuild Hollow OmniCascade QuartzMediator WScript ADODB ConvertFrom-Base28 XLoader ModiLoader | Kritik

JSDropper 06cd8dcf JS 804KB. 3 katman: XOR + Ozel AES-256 (degis SBOX) + PSLoader. MSBuild.exe hollow. OmniCascade assembly. WScript.Shell.Run ADODB.Stream.

阅读报告 →