JSDropperLoader
Dropper de malware JavaScript con cifrado de 3 capas: XOR(20/142) externo, AES-256 personalizado con S-BOX/RCON modificado y luego cargador PowerShell integrado. Se dirige a MSBuild.exe mediante el vaciado de procesos. Utiliza el espacio de nombres del ensamblado OmniCascade (QuartzMediator, PhantomLinker). Codificación personalizada ConvertFrom-Base28 para blobs incrustados. Ejecución mediante WScript.Shell.Run() y ADODB.Stream. Consistente con XLoader/ModiLoader/I
Perfil de amenaza
Tipo
Loader
Lenguaje de programaciónJavaScript/PowerShell
Protocolo C2HTTP/custom
Primera detección2024
Objetivos
Kuresel
Propósito / Capacidades
- Cargador/Gotero/Proceso Hueco
Aún no se han identificado servidores C2 para esta familia.
Informes de investigación (1)
JSDropper 06cd8dcf -- XOR Custom AES-256 Modified SBOX PowerShell MSBuild Hollow OmniCascade QuartzMediator WScript ADODB ConvertFrom-Base28 XLoader ModiLoader | Kritik
JSDropper 06cd8dcf JS 804KB. 3 katman: XOR + Ozel AES-256 (degis SBOX) + PSLoader. MSBuild.exe hollow. OmniCascade assembly. WScript.Shell.Run ADODB.Stream.
Leer informe →