Genel Bakış

Bu örnek, BEC (Business Email Compromise) saldırısı kapsamında kullanılan ve SWIFT ödeme belgesi gibi gizlenmiş 354KB boyutunda obfüske edilmiş bir JScript dropper'dır. Ek dosya olmaksızın tek başına çalışan bu script, ActiveXObject kullanarak dosya sistemi erişimi sağlamakta ve şifreli payload bileşenleri barındırmaktadır.

Teknik Analiz

BEC Sosyal Mühendisliği

  • 文件 adı: SWIFT_Payment_Receipt_300
  • SWIFT uluslararası banka transferi makbuz taklidi
  • Kurumsal finans çalışanlarını hedef almaktadır
  • E-posta ile eklenmiş JScript dosyası olarak gönderilmektedir

Danimarkalı Obfüskasyon Tekniği

  • Değişken isimleri Danimarkaca kelimelerden oluşmakta: landsretssagfrerne, calefactories, Uforstaaelighedernes
  • Yorum satırları anlamsız Danimarkaca metinlerle doldurulmuş: kogleriets, tandbrstnings, Arretsment
  • Bu teknik sayesinde analiz araçları gerçek kodu gürültü içinde kaybeder

JScript Dropper Mantığı

var Marve = [132,126,104,81];   // XOR key/obfüskasyon değerleri
var Blaa227 = new ActiveXObject("Scripting.FileSystemObject");
// Dosya sistemi erişimi: temp dizine payload yaz
  • ActiveXObject("Scripting.FileSystemObject") — Windows dosya sistemi erişimi
  • JScript Windows'ta wscript.exe veya cscript.exe ile çalışır
  • 354KB dosya büyük olasılıkla gömülü şifreli payload içeriyor
  • Numericarray [132,126,104,81] — XOR anahtarları veya karakter kodları

Tespit Kaçınma

  • Uzantısız dosya adı (SWIFT_Payment_Receipt_300) — varsayılan ilişkilendirme yok
  • Yoğun yorum satırları statik analizi zorlaştırıyor
  • Danimarkaca kelimeler entropi analizini yanıltıyor

Teknik 属性ler

属性
类型JScript (Windows Script)
大小354.411 bayt
KamuflajSWIFT Banka Transferi Makbuzu
ObfüskasyonDanimarkaca kelime değişken isimleri
APIActiveXObject (Scripting.FileSystemObject)
Saldırı 类型üBEC (Business Email Compromise)

IOC Özeti

  • 文件 adı: SWIFT_Payment_Receipt_300
  • API: ActiveXObject("Scripting.FileSystemObject")
  • SHA256: af743f03eb5ff44c37af97c4da33f88046831800adc390e461e15e904c23a471

IOC列表 (1 个指标)

IOC — JScript BEC Dropper
# SHA256 af743f03eb5ff44c37af97c4da33f88046831800adc390e461e15e904c23a471
类型备注
sha256 af743f03eb5ff44c37af97c4da33f88046831800adc390e461e15e904c23a471
标签
jscriptbecswiftpaymentdropperactivexobjectobfuscationdanishfinancial-fraudemailsocial-engineeringxor