تحذير! توزيع البرامج الضارة الجديدة RAT و Infostealer في حملة التصيد الاحتيالي

كان باحثو الأمن في HP يتتبعون أداة ضارة جديدة ، أو بالأحرى مجموعة من الأدوات المستخدمة لنشر البرامج الضارة وسرقة المعلومات من الأنظمة الضحية.

الحمولة الأولية في الهجمات في هذه الحملة الجديدة عبارة عن أداة تنزيل ملفات مشفرة في JavaScript ، والتي تُستخدم بدورها لتوزيع عدد من الحمولات الثانوية المختلفة التي تتكون من أحصنة طروادة للوصول عن بُعد وبيانات الاعتماد وأدوات تهريب المعلومات. أطلق فريق بحث HP على التهديد RATDispenser ، نظرًا لطبيعة الحمولات الثانوية المستخدمة في الهجمات.

وجد الباحثون أنه تم استخدام RATDispenser لتوزيع ما يصل إلى ثماني عائلات مختلفة من البرامج الضارة. أدى هذا التنوع أيضًا إلى اشتراط أنه قد يتم ترخيص RATDispenser نفسه لممثلي التهديد باستخدام نظام البرامج الضارة كخدمة.

قبل تقديم برنامج تنزيل JavaScript إلى نظام الضحية ، فإن الخطوة الأولى في سلسلة العدوى هي حملة التصيد التقليدية.

يتلقى الضحايا بريدًا إلكترونيًا مزيفًا "طلب منتج" ، يحتوي على ما تدعي الجهات السيئة أنه ملف نصي يحتوي على معلومات تتعلق بالطلب المزيف. تبدأ محاولة فتح ملف نصي في تثبيت برنامج التنزيل. تم تعتيم كود JavaScript في الحمولة الأولية بشكل أكبر ، للمساعدة في تفادي الدفاعات الآلية.

تم العثور على RATDispenser لتوزيع وتنزيل بعض أحصنة طروادة الشهيرة للوصول عن بعد مثل WSHRAT و STRRAT ، حيث يشكل هذان النوعان فقط غالبية الحمولات المرصودة.

الأمر الأكثر إثارة للقلق هو أن 11٪ فقط من أدوات مكافحة البرامج الضارة المستخدمة في الاختبارات مع البرامج الضارة الجديدة تمكنت من اكتشافها. يمكن أن يسبب هذا المستوى من التهرب الكثير من المتاعب للضحايا المحتملين ، حتى لو كان لديهم مجموعة أمان مثبتة.

تعتبر أحصنة طروادة الوصول عن بعد و keylogger أو البرامج الضارة المخترقة خبيثة بشكل خاص لأنها تبذل قصارى جهدها لتجنب الاكتشاف بمجرد أن تشق طريقها إلى نظام الضحية. لا يوجد عمل مدمر ، ولا توجد علامة فدية حمراء وامضة ، ولا فقدان لاستقرار النظام. هذا يعني أن الجهات السيئة التي تشغل هذه الأدوات الخبيثة يمكن أن تقضي وقتًا طويلاً جدًا على نظام مضيف ، حيث تقوم بسحب البيانات وكلمات المرور وضغطات المفاتيح.