JSDropperLoader

Dropper de malware JavaScript avec cryptage à 3 couches : XOR (20/142) externe, AES-256 personnalisé avec S-BOX/RCON modifié, puis chargeur PowerShell intégré. Cible MSBuild.exe via le processus de creusement. Utilise l'espace de noms d'assembly OmniCascade (QuartzMediator, PhantomLinker). Encodage personnalisé ConvertFrom-Base28 pour les blobs intégrés. Exécution via WScript.Shell.Run() et ADODB.Stream. Compatible avec XLoader/ModiLoader/I

Profil de menace
Type Loader
Langage de programmationJavaScript/PowerShell
Protocole C2HTTP/custom
Première détection2024
Cibles Kuresel
Objectif / Capacités
  • Chargeur/compte-gouttes/processus creux
Aucun serveur C2 n'a encore été identifié pour cette famille.

Rapports de recherche (1)

Critique

JSDropper 06cd8dcf -- XOR Custom AES-256 Modified SBOX PowerShell MSBuild Hollow OmniCascade QuartzMediator WScript ADODB ConvertFrom-Base28 XLoader ModiLoader | Kritik

JSDropper 06cd8dcf JS 804KB. 3 katman: XOR + Ozel AES-256 (degis SBOX) + PSLoader. MSBuild.exe hollow. OmniCascade assembly. WScript.Shell.Run ADODB.Stream.

Lire le rapport →