TTL OSINT

08.07.2024 107 2 мин.

Изучение использования скомпилированного JavaScript версии 8 в вредоносных программах

В этой статье рассматривается использование скомпилированного JavaScript версии 8 во вредоносном ПО, которое компилируется в низкоуровневый байт-код с помощью движка Google V8 JavaScript engine. Этот метод позволяет злоумышленникам избегать статического обнаружения и скрывать свой исходный код, что затрудняет его статический анализ. В статье представлен специальный инструмент под названием "View 8" для декомпиляции байт-кода версии 8 до уровня, удобочитаемого на высоком уровне. Исследование показало, что многие образцы вредоносных программ имели очень низкий уровень обнаружения поставщиками средств безопасности, несмотря на то, что они использовались в обычных атаках. Авторы приводят примеры семейств вредоносных программ, таких как ChromeLoader, которые используют скомпилированную версию V8, включая встраивание полезных данных с зашифрованным байт-кодом V8 и их вызов с использованием встроенных методов NodeJS. В статье подчеркивается важность анализа вредоносного ПО версии compiler V8 с использованием таких инструментов, как View 8, для извлечения конфигурации, доменов CC и механизмов шифрования для получения динамической полезной нагрузки.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://research.checkpoint.com/2024/exploring-compiled-v8-javascript-usage-in-malware/

Выборочные показатели Compromise:

• e73c59ec8ee0b7bcc2b26e740946a121f73c98355dc87b177ebe77258b403d63
• 2e74d21cade1c7ef78dd3bfa06f686cb41a045bb52e0151c1bb51474b97dd2dc

Источник: TTL OSINT