Analysis of a trojanized jQuery script: GootLoader unleashed
更新 202 年 10 月 24 日:自 3 个月前发布此报告以来,我们注意到有 2 处变化。该代码已被改编为使用注册表项“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Personalization”而不是“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Phone”(样本 SHA256 ed2f654b5c5e8c05c27457876f3855e51d89c5f946c8aefecca7f110a6276a6e)当有效载荷为 Cobalt Strike 时,信标配置现在包含 C2 的主机名,如 r1dark[.]ssndob[.]cn
