RATDispenser

Зареждане на JavaScript, наречено RATDispenser, е използвано от участниците в заплахата за доставяне на множество семейства злонамерен софтуер. За да бъдем по-конкретни, експертите са идентифицирали осем различни семейства троянски коне за отдалечен достъп (RAT), които са били доставени чрез RATDispencer през 2021 г.

Заплахите използват RATDispencer, за да установят първоначална опора върху компрометираните системи. След това заплахата стартира полезния товар на следващия етап, натоварен със задачата да установи контрол над устройството и да започне да изсмуква чувствителни данни от устройството. Сред наблюдаваните заплахи за RAT, отпаднали от RATDispencer, най-голямата част, или около 81%, беше поета от STRRAT и Houdini (WSH RAT). Тези заплахи от злонамерен софтуер са в състояние да осигурят отдалечен достъп до заразените системи, да изпълняват рутинни програми за кейлогиране и да събират идентификационни данни.

Подробности за RATDispenser

Първоначалният вектор на инфекция включва доставяне на имейли за примамка, носещи повредени прикачени файлове. На жертвите може да бъде представен имейл, за който се твърди, че съдържа информация за поръчка. За да получат достъп до предполагаемо важната информация, потребителите се насочват към прикачения файл, който е JavaScript файл, маскиран като нормален текстов файл. Когато жертвата щракне двукратно върху файла, зловредният софтуер се изпълнява.

Първото действие на JavaScript файла е да се декодира по време на изпълнение и да създаде VBScript файл в папката %TEMP% с помощта на cmd.exe. След това новогенерираният VBScript файл се стартира за изтегляне на вредния полезен товар. След като изпълни задачата си, файлът се изтрива.

RATDispense също така разполага с множество слоеве на обфускация. В резултат на това заплахата е особено трудна за откриване, което допълнително доказва нейната ефективност като капкомер за RAT. Трябва да бъдат приложени подходящи контрамерки, за да се спре веригата на атака на възможно най-ранните етапи.