RATDispenser

Загрузчик JavaScript под названием RATDispenser использовался злоумышленниками для доставки нескольких семейств вредоносных программ. Если быть более точным, эксперты выявили восемь различных семейств троянцев удаленного доступа (RAT), которые были доставлены через RATDispencer в 2021 году.

Злоумышленники используют RATDispencer, чтобы установить начальную точку опоры на скомпрометированные системы. Затем угроза запускает полезную нагрузку следующего этапа, задача которой - установить контроль над устройством и начать перекачку конфиденциальных данных с устройства. Среди наблюдаемых угроз RAT, отброшенных RATDispencer, большую часть, или около 81%, заняли STRRAT и Houdini (WSH RAT). Эти вредоносные программы способны обеспечивать удаленный доступ к зараженным системам, запускать процедуры кейлоггеров и собирать учетные данные.

Информация о RATDispenser

Первоначальный вектор заражения включает рассылку электронных писем с поврежденными вложениями. Жертвам может быть отправлено электронное письмо, в котором якобы содержится информация о заказе. Чтобы получить доступ к предположительно важной информации, пользователи направляются к вложению, которое представляет собой файл JavaScript, замаскированный под обычный текстовый файл. Когда жертва дважды щелкает файл, вредоносная программа запускается.

Первым действием файла JavaScript является его декодирование во время выполнения и создание файла VBScript в папке% TEMP% с помощью cmd.exe. После этого запускается вновь созданный файл VBScript для загрузки вредоносной полезной нагрузки. После выполнения своей задачи файл удаляется.

RATDispense также имеет несколько уровней обфускации. В результате угрозу особенно трудно обнаружить, что еще раз доказывает ее эффективность в качестве капельницы RAT. Необходимо принять соответствующие контрмеры, чтобы остановить цепочку атак на самых ранних этапах.