Nuova famiglia di malware JavaSquid

Tali tecniche di compromissione iniziale indicano che gli attori della minaccia dietro la campagna sono alla ricerca di infezioni opportunistiche e quindi probabilmente agiscono con motivazioni finanziarie, potenzialmente come IAB (Initial Access Broker). In base all'ubicazione degli invii campione, è molto probabile che l'obiettivo della campagna sia principalmente l'Europa. 

Il dominio watering hole utilizzato per ingannare le vittime e servire il malware è protetto da Cloudflare. Tuttavia, il loro campione di malware contatta un dominio diverso che si risolve in un indirizzo IP che viene puntato da molti altri domini. Molti dei diversi domini che puntano allo stesso indirizzo IP sembrano anche essere collegati all'esca dell'AI-tech e all'impersonificazione di altre aziende.  

È interessante notare che la nostra ricerca OSINT ha indicato che l'indirizzo IP C2 è stato precedentemente collegato agli stealer Lumma e Poseidon. Mentre lo stealer Lumma sarebbe basato sul vecchio stealer Mars, Poseidon è una famiglia di malware scoperta di recente e scritta in AppleScript, quindi mirata agli ambienti iOS. Il fatto che questa nuova famiglia sia scritta in JavaScript potrebbe indicare che l'attore delle minacce dietro l'attività potrebbe passare a un linguaggio di scripting utilizzabile in ambienti diversi. Un altro aspetto da sottolineare è il fatto che l'indirizzo IP appartiene a un ISP cinese (Chang Way Technologies Co. Limited) mentre l'host è geolocalizzato nella Federazione Russa. 

Il campione iniziale del malware aveva una firma digitale valida al momento della nostra prima analisi (9 novembre 2024), rilasciata da una società cinese "Taigu Fulong Electronic Tech Co., Ltd". Tuttavia, abbiamo osservato che durante la nostra indagine era già stata revocata. 

Durante la ricerca di campioni simili utilizzando il nostro motore di ricercaSandbox , abbiamo trovato una serie di campioni della stessa famiglia che utilizzano lo stesso certificato digitale probabilmente rubato, ma anche due nuove serie di campioni. Uno dei set non presentava alcuna firma digitale, mentre l'altro utilizzava un certificato digitale diverso. Tutti i campioni seguivano gli stessi schemi e le stesse tecniche di fingere di essere uno strumento di utilità legittimo in base ai loro diversi nomi (ai_Generation.exe, sweethome3d.exe, Installer_capcut_pro_x64.exe...). 

Il PE è un malware JavaScript compilato, che utilizza lo strumento pkg per trasformare il codice JavaScript in un PE di Windows. Il JavaScript compilato sembra essere in aumento nel panorama delle minacce, come recentemente riportato da altri ricercatori. Lo strumento citato impacchetta un payload JavaScript in un PE di Windows incorporando un interprete Node JS/V8 con l'opzione di compilare il codice in bytecode V8, incorporando quindi nel PE il codice in chiaro o un bytecode JavaScript compilato. L'estrazione della versione in chiaro è banale nella maggior parte dei casi, tuttavia Metadefender Sandbox può estrarre il codice compilato come file JSC (JavaScript Compiled file) e disassemblarlo per ulteriori analisi successive. 

Il payload JavaScript contiene il payload rilevante codificato in base64, lo decodifica e lo esegue utilizzando la funzione eval. Il payload decodificato inizia con un rapido controllo della dimensione della RAM, probabilmente per evitare l'esecuzione in ambienti di analisi. Mentre molte sandbox tradizionali non supererebbero questo controllo, Metadefender Sandbox esegue un'analisi più approfondita di tutto il codice JavaScript, consentendo l'attivazione di indicatori rilevanti. 

Quando il controllo viene superato, il campione esegue una richiesta HTTP a un URL di un evento di Google Calendar, che memorizza nella sua descrizione un secondo URL in formato base64. 

L'URL decodificato punta a un dominio controllato dall'aggressore, che serve un nuovo payload base64 dopo la richiesta corrispondente. Dopo la decodifica, il nuovo payload JavaScript viene immediatamente eseguito utilizzando la funzione eval. Questo codice JavaScript aggiuntivo decodifica ed esegue un payload hardcoded di livello aggiuntivo utilizzando la crittografia AES.  

È interessante notare che le chiavi IV e AES sono ottenute dalle intestazioni di risposta dell'ultima richiesta HTTP, che abbiamo osservato essere diverse a ogni richiesta, il che significa che il payload e le intestazioni servite sono create dinamicamente a ogni richiesta al C2 per essere decifrate con chiavi diverse. Inoltre, il payload decrittografato sembra essere sempre lo stesso, ma con un'offuscamento diverso, rivelando che non solo la crittografia ma anche l'offuscamento avviene dinamicamente a ogni richiesta. Questa tecnica potrebbe non solo ostacolare l'analisi forense in caso di incidente o la ricerca sulle minacce, ma anche eludere i rilevamenti basati sulle firme, poiché l'offuscamento è diverso per ogni richiesta. 

Questo nuovo modulo decriptato è altamente offuscato e apporta molte altre funzionalità all'esempio, aggiungendo il codice di librerie aggiuntive, principalmente per gestire le operazioni sui file e le funzionalità di zip utilizzando il modulo adm. Inoltre, rilascia diversi file in diverse sottodirectory %appdata%\Local, utilizzando una denominazione casuale. 

Uno dei file eliminati è uno script PowerShell denominato run.ps1, che contiene il codice per installare il programma di installazione MSI di NodeJS per lanciare successivamente il payload JavaScript finale utilizzando NodeJS installato, invece del payload JavaScript compilato iniziale. 

A questo punto, l'esecuzione attiverà un messaggio di errore per l'utente sotto forma di pop-up, probabilmente per indurre la vittima a pensare che il "software AI" previsto (ProAI.exe) non sia in grado di funzionare sul suo sistema, distogliendo la sua attenzione dall'infezione JavaSquid in corso. Questo payload JavaScript di fase successiva scaricherà anche un ultimo file JavaScript utilizzando lo stesso meccanismo di contatto con i calendari di Google, per poi contattare il loro dominio controllato utilizzando le intestazioni di risposta HTTP per decrittografare il payload infine servito. Questa volta, il payload finale verrà salvato come index.js in una directory con un nome casuale situata all'interno della directory %appdata%/Romaing. 

Il file run.ps1 precedente verrà successivamente sostituito con un altro script PowerShell con lo stesso nome e anch'esso immediatamente eseguito. Come si può vedere dall'immagine, questo script viene utilizzato solo per ottenere la persistenza sulla macchina, mentre il codice principale del malware è stato scritto in index.js. 

File aggiuntivi rilasciati dal malware: 

• VeqVMR.zip (nome generato a caso): Scaricato dallo stesso C2. Contiene solo un programma di installazione del blocco note (npp.8.6.6.Installer.exe) apparentemente senza impatto sul comportamento generale. 
• bypass.ps1: utilizzato per eseguire il già citato run.ps1, aggirando la restrizione di esecuzione degli script powershell. 
• NiOihmgUci.msi (nome generato a caso): programma di installazione di nodejs, recuperato dal sito web ufficiale. 
• Update.lnk: Scaricato nella cartella di avvio, punta allo script PowerShell run.ps1.