Вредоносная программа-загрузчик, написанная на интерпретаторе JPHP

security

Аналитический центр AhnLab Security (ASEC) сообщает о новом обнаружении вредоносного ПО, созданного с использованием интерпретатора JPHP.

Описание

JPHP - это интерпретатор с открытым исходным кодом, который позволяет использовать код на языке PHP в среде Java.

Он компилирует PHP-код в байт-код Java и позволяет взаимодействовать с библиотеками Java. Вредоносное ПО, найденное ASEC, было распространено в виде ZIP-файла, содержащего Java Runtime Environment (JRE) и список библиотек. При запуске, вредоносная программа использует JRE для запуска Java-файлов, расположенных в папке "lib\".

Она использует Telegram в качестве канала коммуникации с командным и контрольным сервером (C2). Дополнительные C2-серверы загружаются через веб-страницу и используются для загрузки и выполнения дополнительного вредоносного ПО.

По результатам анализа, вредоносное ПО, разработанное с использованием JPHP, способно выполнять различные действия, включая утечку данных.

Indicators of Compromise

MD5

  • 1b5548083e151b54a63cb933d5cbe274
  • 230c1d520f88a66698d522805bafe883
  • 4a54c8367d6cf067fbad8ce3da50b65e
  • c2d457714e7079fa6b423156071a3860
  • d87a34d70a672339d6b8c7b563eb8e7d
Комментарии: 0