Javascript Ofuscado

Analistas de cibersegurança identificaram uma campanha sofisticada que utiliza utilitários do Windows disfarçados como testes de velocidade da Internet, processadores de PDF e interfaces de busca de IA. Esses instaladores, empacotados com Inno-Packer, extraem silenciosamente uma pasta do Node.js e um script JavaScript ofuscado, registrando uma tarefa agendada para executar o script a cada doze horas, enquanto a funcionalidade legítima permanece intacta. Embora os usuários recebam leituras precisas de largura de banda e conversões de PDF, o instalador também implanta um binário do Node.js e um arquivo .js codificado no diretório do aplicativo. A tarefa agendada garante a execução persistente em segundo plano, confirmando que a remoção do componente JavaScript não afeta a funcionalidade principal, evidenciando seu papel como uma porta dos fundos oculta. O script malicioso utiliza uma rotina de decodificação em múltiplas etapas para revelar strings legíveis, realizando consultas ao registro do Windows e enviando dados para um domínio de comando e controle. Organizações devem inspecionar tarefas agendadas e diretórios de instalação para identificar pastas inesperadas do Node.js ou arquivos .js, bloquear domínios conhecidos e implementar assinaturas de detecção para neutralizar esses componentes antes que comandos maliciosos sejam executados.