Специалисты по информационной безопасности обнаружили и детально исследовали сложный вредоносный фреймворк, написанный на JavaScript и предназначенный для выполнения в среде Windows Script Host (WSH). Данный код, маскирующийся под вспомогательную библиотеку, предоставляет злоумышленникам практически полный контроль над зараженной системой Windows. Его архитектура и набор функций намеренно повторяют популярный язык автоматизации AutoIt, что указывает на цель - легкое портирование существующих AutoIt-угроз в формат JScript для более скрытного распространения.
Описание
Фреймворк представляет собой не единичный вредонос, а целостную платформу, которую можно логически разделить на несколько модулей. Ключевыми компонентами являются механизм скрытых ресурсов, система маскировки под легитимный код, инфраструктура для работы через ActiveX и WMI, а также модули для сбора информации, управления процессами и файловой системой. Такой подход превращает его в универсальный инструмент для многоступенчатых атак.
Одной из основных техник сокрытия является хранение вредоносной полезной нагрузки (payload) непосредственно в теле скрипта. Фреймворк извлекает данные, спрятанные в многострочных комментариях вида "/*[[PAYLOAD[...]]]*/". Этот метод, характерный для fileless-атак (атак без использования файлов), позволяет обходить традиционные сигнатурные анализаторы, поскольку основной файл не содержит явного вредоносного кода, а все ресурсы упакованы внутри него.
Для дополнительной маскировки код включает в себя реализацию стандартных полифиллов JavaScript, таких как "Function.prototype.bind" или "Array.prototype.forEach". На первый взгляд это делает скрипт похожим на легитимную бизнес-логику, устаревшую, но безобидную. Однако за этим фасадом скрывается активное использование объектов ActiveX, таких как "Scripting.FileSystemObject" и "WScript.Shell", которые предоставляют неограниченный доступ к файлам, процессам и системным настройкам.
Важнейшую роль в функционале фреймворка играет WMI (Windows Management Instrumentation), используемый как универсальный API для управления системой. Через него зловред собирает детальную информацию о системе: версию операционной системы, данные о пользователе, сетевые адреса, параметры дисков и список запущенных процессов. Более того, с помощью WMI реализовано скрытое создание и управление процессами. Например, установка параметра "ShowWindow = 0" обеспечивает невидимый для пользователя запуск программ, что критически важно для скрытной работы дропперов или загрузчиков.
Особое внимание исследователей привлекло почти полное соответствие API этого фреймворка стандартным функциям AutoIt. В коде присутствуют аналоги таких команд, как "ProcessExists()", "FileCopy()", "DirRemove()" и даже набор функций для валидации строк ("StringIsAlNum", "StringIsFloat"). Более того, в скрипте была найдена ошибка - функция "StringIsAlpha" ошибочно выполняет проверку на ASCII, что является типичным артефактом автоматического портирования кода из AutoIt. Это прямо подтверждает гипотезу о том, что фреймворк создан для конвертации существующих AutoIt-вредоносов в JScript.
Фреймворк также включает продвинутые механизмы для обеспечения скрытности и устойчивости. Он может проверять наличие административных привилегий, пытаясь создать файл в системной директории, что является обходным маневром. Для кражи данных реализован перехват содержимого буфера обмена через "mshta.exe" - легитимный и часто разрешенный инструмент. Кроме того, в арсенале есть функции для создания ярлыков (LNK-файлов) в автозагрузке, что обеспечивает постоянство присутствия (persistence) в системе, и массового изменения временных меток файлов, что серьезно затрудняет форензик-анализ.
Таким образом, обнаруженный образец представляет собой не простой скрипт, а полноценный SDK (Software Development Kit) для создания вредоносных программ. Он покрывает все ключевые этапы киберубийственной цепочки (kill chain): от первоначального запуска и установки постоянного доступа до сбора данных, повышения привилегий и маскировки. Подобные фреймворки высокого качества обычно связывают с деятельностью опытных злоумышленников, возможно, даже с APT-группами (Advanced Persistent Threat - комплексная постоянная угроза). Эксперты подчеркивают, что использование легитимных компонентов Windows, таких как WSH, WMI и ActiveX, делает эту угрозу особенно коварной и сложной для детектирования традиционными антивирусными средствами.
Индикаторы компрометации
MD5
- 49e68f02d9a2464da06333acf669d72d
SHA1
- f7c516131eed61718cd4d8dc986f3d15a1074ef6
SHA256
- 545af4e3a9f7f9cc45e00fe549c8213fdb5bf96e192b42634bbd7771b2fc030d
SSDEEP
- 768:/YJxjJHL4N87VBBBbsrlSp0WK5UyJSTn+n5YeJDT/itJoytilPJgqF3u6q6u9HVm:QJxFsVVT/NGWGqF3a1Uflva0QxhP5O
