موزع RAT
تم استخدام أداة تحميل JavaScript تسمى RATDispenser من قبل الجهات المهددة لتقديم العديد من عائلات البرامج الضارة. لنكون أكثر تحديدًا ، حدد الخبراء ثماني عائلات مختلفة من أحصنة طروادة (RATs) للوصول عن بُعد والتي تم تسليمها عبر RATDispencer في عام 2021.
يستخدم ممثلو التهديد RATDispencer لإنشاء موطئ قدم أولي على الأنظمة المخترقة. بعد ذلك ، يُطلق التهديد حمولة المرحلة التالية ، المكلفة بإرساء السيطرة على الجهاز ، والبدء في سحب البيانات الحساسة من الجهاز. من بين تهديدات RAT التي تم إسقاطها بواسطة RATDispencer ، تم تناول الجزء الأكبر ، أو حوالي 81 ٪ ، بواسطة STRRAT و Houdini (WSH RAT). تهديدات البرامج الضارة هذه قادرة على تأمين الوصول عن بُعد للأنظمة المصابة وتشغيل إجراءات تسجيل لوحة المفاتيح وجمع بيانات الاعتماد.
تفاصيل RATDispenser
يتضمن ناقل العدوى الأولي تسليم رسائل بريد إلكتروني مغرية تحمل مرفقات تالفة. يمكن تقديم رسالة بريد إلكتروني إلى الضحايا تدعي أنها تحتوي على معلومات حول أمر. للوصول إلى المعلومات التي يُفترض أنها مهمة ، يتم توجيه المستخدمين نحو المرفق ، وهو ملف JavaScript متخفي كملف نصي عادي. عندما تنقر الضحية نقرًا مزدوجًا فوق الملف ، يتم تنفيذ البرنامج الضار.
الإجراء الأول لملف JavaScript هو فك تشفير نفسه في وقت التشغيل وإنشاء ملف VBScript في المجلد٪ TEMP٪ باستخدام cmd.exe. بعد ذلك ، يتم بدء تشغيل ملف VBScript الذي تم إنشاؤه حديثًا لتنزيل الحمولة الضارة. بعد الانتهاء من مهمتها ، يتم حذف الملف.
يتميز RATDispense أيضًا بطبقات متعددة من التشويش. نتيجة لذلك ، يصعب اكتشاف التهديد بشكل خاص ، مما يثبت فعاليته كقطارة RAT. يجب تنفيذ تدابير مضادة مناسبة لوقف سلسلة الهجوم في أقرب مراحل ممكنة.
