详细内容或原文请订阅后点击阅览
坏公司:JScript RAT 和CobaltStrike
基于 JScript 的远程访问木马 (RAT) 正在获得关注。我们研究了 5 月中旬出现的一个最新示例。事实证明,这种 RAT 有一些我们熟悉的同伴。
来源:G DATA _恶意软件攻击模式如下所示。过去几年,人们注意到基于 JScript 的 RAT 经常通过网络钓鱼活动进行分发。我们怀疑这次攻击使用了相同的技术。一旦执行初始加载器脚本,它就会联系命令和控制 (C&C) 服务器,该服务器会使用新的恶意脚本进行响应。这是第二阶段加载器,并且会即时执行。第二阶段加载器与 C&C 服务器通信以获取 RAT 组件,再次使用 JScript 编写脚本。RAT 组件能够继续运行,直到被指示停止,并执行从 C&C 服务器收到的其他命令。