网络安全研究人员发现了一条复杂的多阶段攻击链，该攻击链利用 JScript 脚本语言来投放危险的恶意软件负载。

这种攻击采用了复杂的混淆技术，最终会根据受害者所在的地理位置投放 XWorm 或 Rhadamanthys 恶意软件。

这个加载器通过精心设计的执行流程来运作，从 JScript 开始，过渡到 PowerShell，最后投放无文件恶意软件。

攻击通常通过计划任务或者涉及虚假验证码（CAPTCHA）的 ClickFix 攻击来发起。

攻击者会向受害者发送一个 mshta.exe 命令，该命令会执行经过混淆处理的 JScript 代码，而 JScript 代码又会生成 PowerShell 命令。

这种技术使攻击者能够利用 Windows 系统的合法组件来执行恶意代码，从而绕过传统的安全防护措施。

最初的感染途径显示出攻击者在利用系统信任关系方面的老练手段。

一旦执行，JScript 加载器会通过巧妙地将随机排序的数组元素重新组合成连贯的脚本来创建一个 PowerShell 命令。

然后，这个脚本会通过查询外部应用程序编程接口（API）来进行地理位置检查，以确定受害者是否位于美国，并据此引导攻击流程。

Sophos 的研究人员认为，这种地理围栏式的投放策略是一种有意针对特定地区的尝试，同时减少不必要的暴露。

研究人员指出，这种基于地理位置的负载投放方式代表了有针对性的恶意软件传播技术的一种演进，使威胁行为者能够根据地理位置因素定制攻击。

该恶意软件实施了全面的反取证措施，包括终止与之竞争的进程，并从系统的各个目录中删除潜在的证据文件。

它在保持低调以逃避安全防护解决方案检测的同时，还创建了持久的感染路径。

执行流程分析

这种恶意软件最引人注目的方面是其复杂的执行流程。在最初的 JScript 执行之后，加载器会启动一个多阶段的去混淆过程。

一个 PowerShell 代码示例揭示了其复杂性：

# 定义执行块

#{{E}={

# 定义类型和方法名称

${T} = [char[]]@(‘A’, ‘.’, ‘B’)

${M} = [char[]]@(‘C’)

# 从已加载的程序集中获取类型和方法

${Y} = $I.GetType((${T} -join ”))

${N} = ${Y}.GetMethod((${M} -join ”))

这段代码片段展示了恶意软件如何使用 PowerShell 反射来动态加载恶意组件，同时逃避检测。

加载器将十进制编码的数据转换为可执行代码，然后将其注入到像 RegSvcs.exe 这样的合法 Windows 进程中。

最终的负载会因地理位置而有所不同。美国的受害者会收到 XWorm，这是一种远程访问木马，能够执行分布式拒绝服务（DDoS）攻击和劫持加密货币的剪贴板。

非美国的受害者会感染上 Rhadamanthys，这是一种复杂的基于 C++ 的信息窃取程序，它使用人工智能驱动的图像识别技术来识别加密货币钱包的助记词。

这项分析凸显了现代恶意软件传播技术的演进，将复杂的混淆技术与有针对性的投放机制相结合，以最大限度地提高感染成功率，同时最小化被检测到的可能性。

建议安全专业人员实施强大的检测机制，重点识别可疑的 PowerShell 执行链和无文件注入技术。