一场复杂的恶意软件攻击活动已然出现，其利用虚假的在线速度测试应用程序，在Windows系统上部署经过混淆处理的JavaScript有效载荷。

这些恶意工具伪装成合法的网络速度测试工具、手册阅读器、PDF工具以及各种搜索前端，诱骗毫无防备的用户安装在后台秘密运行的危险代码。

当用户从遭入侵或恶意的域名（如onlinespeedtestservice[.]com）下载看似功能正常的测速应用程序时，攻击便开始了。

安装后，该应用程序会提供其宣传的功能，营造出一种虚假的安全感，同时部署一个隐藏的Node.js运行时环境以及大量经过高度混淆处理的JavaScript文件。

可见的可执行文件按预期运行，在恶意组件在系统中扎根的同时维持着用户的信任。

Security Magic的分析师发现，这些应用程序是使用Inno-Packer安装程序打包的，该安装程序将合法功能与恶意组件捆绑在一起，包括便携式Node运行时、计划任务配置以及与应用程序主要功能无关的混淆JavaScript有效载荷。

这种恶意软件独立于主可执行文件运行，极大地扩大了攻击面，并为威胁行为者提供了对受感染系统的持久访问权限。

这种感染通过计划任务建立持久性，这些计划任务大约每12小时执行一次恶意JavaScript有效载荷。

这个JavaScript组件与命令和控制服务器（特别是cloud.appusagestats.com）保持加密通信，并具备执行远程服务器发送的任意代码的能力。

该恶意软件会查询系统信息，包括Windows注册表项HKLM\Software\Microsoft\Cryptography\MachineGuid，以收集机器标识数据并传输给攻击者。

高级混淆与命令执行机制

这个JavaScript有效载荷采用了复杂的混淆技术，以在安全分析中隐藏其真实目的。

研究人员发现，这段混淆代码包含经过编码的字符串，通过修补解码函数的返回语句可以对这些字符串进行解码。

解码后，JavaScript会揭示其与命令和控制基础设施之间的通信协议。该恶意软件会传输包含版本信息、系统标识符和功能标志的JSON格式数据。

对网络通信的分析显示，该有效载荷能够接收并执行PowerShell命令，研究人员观察到的测试执行通过Windows Forms程序集显示了消息框。

该命令执行机制利用Node.js的child_process模块来生成系统进程，能够以用户权限执行任意代码，同时通过隐藏窗口模式和无配置文件的PowerShell执行来保持隐蔽性。