【安全资讯】JsOutProx恶意软件将攻击目标拓展到西方金融机构

引言

JsOutProx(TH-264) 是一种基于JavaScript的复杂RAT，背后的攻击者为SOLAR SPIDER，目标主要是亚太地区的金融机构。在过去的两年里，这种植入物有了很明显的改变。近日，研究人员发现，JsOutProx的攻击可能会扩展到西方的金融机构。

简况

此次攻击活动感染始于与银行交易相关的恶意网络钓鱼信息，伪装成 PDF 文件。这个新变种比以前的版本具有更复杂的混淆级别，增强了反分析能力。恶意代码的高层结构如下图：

恶意代码的第一部分是一个长数组，包含大约 30k 个以 Base-64 格式编码的加密字符串，代码还包含一段看起来像解码存根的代码，以及隐藏了主要解码程序的“H”函数。这个函数代表了攻击者如何增强代码混淆的明确证据，因为主体已被重写为递归，使分析更加困难并避免检测。

该植入程序的复杂程度越来越高：混淆变得越来越强烈，可以避免初始检测，新版本删除了内存中的 .NET 模块，并采用了代理进程插件架构来增强主要感染程序的存活率。此外，“仅查看模式”的引入代表了该恶意工具灵活性的显着变化。

总结

JsOutProx恶意软件体现出攻击者如何滥用高级脚本语言来实现功能齐全的植入，轻松规避传统的基于签名的检测工具，这些工具通常擅长发现二进制文件，而不是文本。