Varování! Nový malware RAT a Infostealer distribuovaný v kampani proti phishingu

Bezpečnostní výzkumníci s HP sledovali nový škodlivý nástroj, nebo spíše balík nástrojů používaných k šíření malwaru a krádeži informací ze systémů obětí.

Počátečním nákladem v útocích v této nové kampani je stahovač souborů kódovaný v JavaScriptu, který se zase používá k distribuci řady různých sekundárních užitečných zatížení složených z trojských koní pro vzdálený přístup a přihlašovacích údajů a nástrojů pro exfiltraci informací. Výzkumný tým HP nazval hrozbu RATDispenser kvůli povaze sekundárního užitečného zatížení použitého při útocích.

Výzkumníci zjistili, že RATDispenser byl použit k distribuci až osmi různých rodin malwaru. Tato rozmanitost také vedla k ustanovení, že samotný RATDispenser může být licencován aktérům ohrožení pomocí schématu malware-as-a-service.

Ještě předtím, než je do systému oběti zaveden i stahovač JavaScriptu, je prvním krokem infekčního řetězce tradiční phishingová kampaň.

Oběti obdrží falešný e-mail s „objednávkou produktu", který obsahuje textový soubor s informacemi souvisejícími s falešnou objednávkou. Pokus o otevření textového souboru spustí instalaci stahovacího programu. Kód JavaScript v počátečním obsahu je dále zatemněn, aby se zabránilo automatizované obraně.

Bylo zjištěno, že RATDispenser distribuuje a stahuje některé oblíbené trojské koně pro vzdálený přístup, jako jsou WSHRAT a STRRAT , přičemž právě tito dva tvoří většinu sledovaných dat.

Ještě znepokojivější je, že pouze 11 % antimalwarových nástrojů používaných v testech s novým malwarem jej dokázalo detekovat. Tato úroveň úniků může potenciálním obětem způsobit spoustu problémů, i když mají nainstalovanou sadu zabezpečení.

Trojské koně se vzdáleným přístupem a malware keylogger nebo infostealer jsou obzvláště zákeřné, protože se snaží vyhnout odhalení, jakmile se dostanou do systému oběti. Neexistuje žádná destruktivní akce, žádný blikající červený znak ransomwaru, žádná ztráta stability systému. To znamená, že špatní aktéři provozující tyto škodlivé nástroje mohou potenciálně strávit velmi dlouhou dobu na hostitelském systému, exfiltrovat data, hesla a stisky kláves.