Kemarin saya menemukan skrip JavaSvript yang menarik yang dikirim melalui kampanye phishing biasa (SHA256: 70c0b9d1c88f082bad6ae01fef653da6266d0693b24e08dcb04156a629dd6f81) dan memiliki skor VT 17/61.
Penyamaran skrip sederhana namun efektif: kode berbahaya didekodekan dan diteruskan ke fungsi eval () untuk dieksekusi. Payload adalah string karakter Unicode yang diubah satu per satu melalui fungsi wrwrwrwererw (). Karakter pertama adalah ‘huruf kapital cyrillic ef’ yang memiliki kode desimal 1060. Karakter yang dikembalikan akan menjadi ‘/’ (kode ASCII 47). Anda tidak perlu mendekode ini secara manual, cukup ganti eval () dengan echo () dan Anda akan mendapatkan skrip yang didekodekan. Mari kita lihat. Skrip baru juga dikaburkan tetapi tetap mudah dibaca.
Worm ini telah digunakan berkali-kali dalam berbagai kampanye dan tampaknya masih aktif sampai sekarang. Server C2 adalah hxxp: // dhanaolaipallets [.] Com: 7974 /.
sumber : SANS.EDU
