Я проанализировал js этого дроппера: https://www.hybrid-analysis.com/sample/d7abafd2d8a9fcbcc7da09cffa7006df80a42c1731287d59b2a1d71c4ee183a2?environmentId=100
Код немного запутан, и после хорошего бьютификатора и декодирования шестнадцатеричных строк его лучше проанализировать.
Самое интересное находится в конце файла:
Первая часть кода проверяет, не существует ли C:\\ProgramData\\abc123 для его создания.
А с помощью функции jXxzlCXaBCDBMIA06KMKC256D7M8JHI0CC40E0 загружаются два файла:
hxxp://notificachile[.]org/hooponoponod8/attrib[.]jpg
и
http://notificachile.org/hooponoponod8/dDDDE3333inNNFIniT11118[.]jpg
Первый файл — 681ccc9e5bab3a23b3ce31fdc1eb8db268e79e1521e748d8f8c951d10a3a096c.
Это легальный exe-файл, разработанный vmware.
И второй: d3d7b56b3b97ff71d522df66bdb59fdd6ba8e630835167c3bc57288f8d5a88ef
это dll и этот файл вредоносный, это банковский троян
И дроппер js переименовывает этот файл в shfolder.dll вот так
var AKrmjVaCK6A6MKEK7FD4K7K0KNE2JJG1C99AHK = zAtCnlAvI5CJN52A0FK7LEFD1H63G522GE15KI(_0xf4b3[24]);
если вы проверите таблицу импорта законного файла:
Поскольку вредоносная dll находится в той же папке, что и законный файл, и выставляет ту же функцию SHGetFolderPathW, загружается троян, а не Windows DLL.
Эта техника используется PlugX для обхода продуктов безопасности. Подобно тому, как программное обеспечение является законным, продукты безопасности не проверяют загрузку dll. Это провал!
