Внимание! Нов злонамерен софтуер за RAT и Infostealer, разпространен в фишинг кампания

Изследователите по сигурността с HP проследяват нов злонамерен инструмент или по-скоро набор от инструменти, използвани за разпространение на зловреден софтуер и кражба на информация от системите на жертвите.

Първоначалният полезен товар в атаките в тази нова кампания е програма за изтегляне на файлове, кодирана в JavaScript, която от своя страна се използва за разпространение на редица различни вторични полезни натоварвания, състоящи се от троянски коне за отдалечен достъп и идентификационни данни и инструменти за ексфилтриране на информация. Изследователският екип на HP нарече заплахата RATDispenser , поради естеството на вторичните полезни товари, използвани при атаките.

Изследователите откриха, че RATDispenser е използван за разпространение на до осем различни семейства зловреден софтуер. Това разнообразие също доведе до уговорката, че самият RATDispenser може да бъде лицензиран за заплахи, използващи схема за злонамерен софтуер като услуга.

Преди дори изтеглянето на JavaScript да бъде въведено в системата на жертвата, първата стъпка от веригата на заразяване е традиционната фишинг кампания.

Жертвите получават фалшив имейл за „поръчка на продукт", съдържащ това, което лошите актьори твърдят, че е текстов файл с информация, свързана с фалшивата поръчка. Опитът да отворите текстовия файл започва инсталирането на програмата за изтегляне. JavaScript кодът в първоначалния полезен товар е допълнително обфуциран, за да помогне за избягване на автоматизирани защити.

Установено е, че RATDispenser разпространява и изтегля някои популярни троянски коне за отдалечен достъп като WSHRAT и STRRAT , като само тези два съставляват по-голямата част от наблюдаваните полезни товари.

Още по-тревожното е, че само 11% от анти-зловредните инструменти, използвани в тестовете с новия зловреден софтуер, успяха да го открият. Това ниво на избягване може да създаде много проблеми за потенциалните жертви, дори ако те имат инсталиран пакет за сигурност.

Дистанционни троянски коне за достъп и записване на натиснатите клавиши или infostealer зловреден софтуер са особено коварни, защото те правят най-добре да им откриване избягва, след като те да си проправят път в системата на жертвата. Няма разрушително действие, няма мигащ червен знак за рансъмуер, няма загуба на стабилност на системата. Това означава, че лошите участници, управляващи тези злонамерени инструменти, потенциално могат да прекарат много дълго време в хост система, ексфилтрирайки данни, пароли и натискания на клавиши.