RATD dávkovač

Zavaděč JavaScriptu s názvem RATDispenser používají aktéři hrozeb k doručení několika skupin malwaru. Abychom byli konkrétnější, odborníci identifikovali osm různých rodin trojských koní pro vzdálený přístup (RAT), které byly dodány prostřednictvím RATDispencer v roce 2021.

Aktéři hrozeb používají RATDispencer k vytvoření počátečního postavení na kompromitovaných systémech. Poté hrozba spustí další fázi užitečného zatížení, jejímž úkolem je zajistit kontrolu nad zařízením a začít ze zařízení vysávat citlivá data. Mezi pozorovanými hrozbami RAT, které společnost RATDispencer snížila, největší část, nebo přibližně 81 %, zachytily STRRAT a Houdini (WSH RAT). Tyto malwarové hrozby jsou schopny zabezpečit vzdálený přístup k infikovaným systémům, spouštět rutiny keyloggingu a shromažďovat přihlašovací údaje.

Podrobnosti o dávkovači RATD

Vektor počáteční infekce zahrnuje doručování e-mailů s návnadou s poškozenými přílohami. Obětem může být předložen e-mail s tvrzením, že obsahuje informace o objednávce. Pro přístup k údajně důležitým informacím jsou uživatelé přesměrováni na přílohu, což je soubor JavaScriptu maskovaný jako normální textový soubor. Když oběť dvakrát klikne na soubor, spustí se malware.

První akcí souboru JavaScript je dekódovat se za běhu a vytvořit soubor VBScript ve složce %TEMP% pomocí cmd.exe. Poté je inicializován nově vygenerovaný soubor VBScript ke stažení škodlivého užitečného zatížení. Po dokončení úkolu je soubor smazán.

RATDispense také obsahuje několik vrstev zmatku. V důsledku toho je hrozba obzvláště obtížně detekovatelná, což dále dokazuje její účinnost jako kapátka RAT. Musí být provedena příslušná protiopatření k zastavení útočného řetězce v co nejranějších fázích.