Neue JavaSquid-Malware-Familie

Derartige Techniken zur Erstkompromittierung deuten darauf hin, dass die hinter der Kampagne stehenden Bedrohungsakteure opportunistische Infektionen anstreben und daher wahrscheinlich mit finanzieller Motivation handeln, möglicherweise als IAB (Initial Access Broker). Ausgehend vom Standort der eingereichten Beispiele ist es sehr wahrscheinlich, dass das Ziel der Kampagne hauptsächlich Europa ist. 

Die Watering Hole-Domain, mit der die Opfer getäuscht und die Malware verbreitet wird, ist durch Cloudflare geschützt. Das Malware-Beispiel kontaktiert jedoch eine andere Domain, die in eine IP-Adresse aufgelöst wird, auf die auch viele andere Domains verweisen. Viele der verschiedenen Domains, die auf dieselbe IP-Adresse verweisen, scheinen ebenfalls mit den KI-Tech-Ködern und der Imitation anderer Unternehmen in Verbindung zu stehen.  

Interessanterweise haben unsere OSINT-Recherchen ergeben, dass die C2-IP-Adresse zuvor mit Lumma- und Poseidon-Stealern in Verbindung gebracht wurde. Während der Lumma-Stealer Berichten zufolge auf dem alten Mars-Stealer basiert, ist Poseidon eine erst kürzlich entdeckte Malware-Familie, die in AppleScript geschrieben wurde und daher auf iOS-Umgebungen abzielt. Die Tatsache, dass diese neue Familie in JavaScript geschrieben ist, könnte darauf hindeuten, dass der Bedrohungsakteur, der hinter dieser Aktivität steht, zu einer Skriptsprache wechselt, die in verschiedenen Umgebungen verwendet werden kann. Ein weiterer hervorzuhebender Aspekt ist die Tatsache, dass die IP-Adresse zu einem chinesischen ISP (Chang Way Technologies Co. Limited) gehört, während der Host in der Russischen Föderation angesiedelt ist. 

Das ursprüngliche Malware-Muster hatte zum Zeitpunkt unserer ersten Analyse (9. November 2024) eine gültige digitale Signatur, die von einem chinesischen Unternehmen namens "Taigu Fulong Electronic Tech Co., Ltd" ausgestellt wurde. Während unserer Untersuchung stellten wir jedoch fest, dass sie bereits widerrufen worden war. 

Bei der Suche nach ähnlichen Beispielen mit unserer SuchmaschineSandbox fanden wir eine Reihe von Beispielen aus derselben Familie, die dasselbe wahrscheinlich gestohlene digitale Zertifikat verwendeten, aber auch zwei neue Sätze von Beispielen. Einer der Sätze enthielt keine digitale Signatur, während der andere ein anderes digitales Zertifikat verwendete. Alle Beispiele folgten denselben Mustern und Techniken, indem sie sich aufgrund ihrer unterschiedlichen Namen als legitimes Dienstprogramm ausgaben (ai_Generation.exe, sweethome3d.exe, Installer_capcut_pro_x64.exe...). 

The PE is compiled JavaScript malware, using the pkg tool to turn the JavaScript code into a Windows PE. Compiled JavaScript appears to be on the rise within the threat landscape, as recently reported by the other researchers. The mentioned tool packages a JavaScript payload into a Windows PE by embedding a Node JS/V8 interpreter with the option of compiling the code into V8 bytecode, hence embedding into the PE either the plaintext code or a JavaScript Compiled bytecode. The plaintext version extraction is trivial in most cases, though, MetaDefender Aether can extract the compiled code as a JSC (JavaScript Compiled file) and disassemble for later further analysis. 

The JavaScript payload holds the relevant payload base64 encoded, decodes it, and executes it using the eval function. This decoded payload starts by running a quick RAM size check, likely to avoid executing on analysis environments. While many traditional sandboxes would not pass through this check, MetaDefender Aether performs deeper analysis of all the JavaScript code, allowing the trigger of relevant indicators. 

Wenn die Prüfung bestanden ist, führt das Beispiel eine HTTP-Anfrage an eine Google-Kalender-Ereignis-URL aus, die in ihrer Beschreibung eine zweite URL im base64-Format speichert. 

Die entschlüsselte URL verweist auf eine vom Angreifer kontrollierte Domäne, die nach der entsprechenden Anfrage eine neue base64-Nutzlast liefert. Nach der Dekodierung des neuen JavaScript-Payloads wird dieser ebenfalls sofort mit der eval-Funktion ausgeführt. Dieser zusätzliche JavaScript-Code entschlüsselt und führt eine zusätzliche Schicht hartkodierter Nutzdaten mit AES-Verschlüsselung aus.  

Interessanterweise werden die IV- und AES-Schlüssel aus den Antwort-Headern der letzten HTTP-Anfrage entnommen, die sich nach unseren Beobachtungen bei jeder Anfrage unterscheiden, was bedeutet, dass die Nutzdaten und Header bei jeder Anfrage an C2 dynamisch erstellt und mit unterschiedlichen Schlüsseln entschlüsselt werden. Außerdem scheint die entschlüsselte Nutzlast immer dieselbe zu sein, allerdings mit einer anderen Verschleierung, was zeigt, dass nicht nur die Verschlüsselung, sondern auch die Verschleierung bei jeder Anfrage dynamisch erfolgt. Diese Technik könnte nicht nur die forensische Analyse im Falle eines Vorfalls oder die Bedrohungsforschung erschweren, sondern sie würde auch signaturbasierte Erkennungen umgehen, da die Verschleierung bei jeder Anfrage anders ist. 

Dieses neu entschlüsselte Modul ist hochgradig verschleiert und erweitert das Beispiel um viele weitere Funktionen, indem es den Code zusätzlicher Bibliotheken hinzufügt, die sich hauptsächlich mit Dateioperationen und Zip-Funktionen unter Verwendung des adm-Moduls befassen. Außerdem legt es verschiedene Dateien in verschiedenen Unterverzeichnissen %appdata%\Local ab, wobei es eine zufällige Benennung verwendet. 

Eine der abgelegten Dateien ist ein PowerShell-Skript mit dem Namen run.ps1, das den Code zur Installation des NodeJS MSI-Installationsprogramms enthält, um später die endgültige JavaScript-Nutzlast unter Verwendung des installierten NodeJS anstelle der anfänglich kompilierten JavaScript-Nutzlast zu starten. 

An diesem Punkt löst die Ausführung eine Fehlermeldung für den Benutzer in Form eines Pop-ups aus, die das Opfer zu der Annahme verleiten soll, dass die erwartete "KI-Software" (ProAI.exe) nicht auf seinem System ausgeführt werden kann, um seine Aufmerksamkeit von der laufenden JavaSquid-Infektion abzulenken. Diese spätere JavaScript-Nutzlast lädt auch eine letzte JavaScript-Datei herunter, wobei derselbe Mechanismus verwendet wird, um Google-Kalender zu kontaktieren und dann die kontrollierte Domäne mit Hilfe der HTTP-Antwort-Header zu kontaktieren, um die schließlich zugestellte Nutzlast zu entschlüsseln. Dieses Mal wird die endgültige Nutzlast als index.js in einem Verzeichnis mit einem zufälligen Namen im Verzeichnis %appdata%/Romaing gespeichert. 

Die vorherige Datei run.ps1 wird später durch ein anderes PowerShell-Skript mit demselben Namen ersetzt und ebenfalls sofort ausgeführt. Wie auf dem Screenshot zu sehen ist, wird dieses Skript nur verwendet, um auf dem Computer zu bleiben, während der Hauptcode der Malware in index.js geschrieben wurde. 

Zusätzliche Dateien, die von der Malware abgelegt wurden: 

• VeqVMR.zip (zufällig generierter Name): Heruntergeladen von der gleichen C2. Es enthält nur ein Notepad-Installationsprogramm (npp.8.6.6.Installer.exe), das offenbar keine Auswirkungen auf das Gesamtverhalten hat. 
• bypass.ps1: wird verwendet, um die zuvor erwähnte run.ps1 auszuführen, wobei die Einschränkung der Ausführung von Powershell-Skripten umgangen wird. 
• NiOihmgUci.msi (zufällig generierter Name): nodejs-Installationsprogramm, abgerufen von der offiziellen Website. 
• Update.lnk: Es wird im Startordner abgelegt und verweist auf das PowerShell-Skript run.ps1.