Advarsel! Ny RAT- og Infostealer-malware distribueret i phishing-kampagne
Sikkerhedsforskere med HP har sporet et nyt ondsindet værktøj, eller rettere et bundt værktøjer, der bruges til at sprede malware og stjæle information fra offersystemer.
Den indledende nyttelast i angrebene i denne nye kampagne er en fildownloader kodet i JavaScript, som igen bruges til at distribuere en række forskellige sekundære nyttelaster bestående af trojanske heste med fjernadgang og legitimationsoplysninger og informationseksfiltreringsværktøjer. HP-forskerholdet har kaldt truslen RATDispenser på grund af arten af de sekundære nyttelaster, der blev brugt i angrebene.
Forskere fandt ud af, at RATDispenser blev brugt til at distribuere så mange som otte forskellige malware-familier. Denne variation førte også til bestemmelsen om, at RATDispenser selv kan få licens til trusselsaktører, der bruger en malware-as-a-service-ordning.
Inden selv JavaScript-downloaderen introduceres til ofrets system, er det allerførste trin i infektionskæden en traditionel phishing-kampagne.
Ofre modtager en falsk "produktordre"-e-mail, der indeholder, hvad de dårlige skuespillere hævder er en tekstfil med information relateret til den falske ordre. Forsøger du at åbne tekstfilen starter installationen af downloaderen. JavaScript-koden i den indledende nyttelast sløres yderligere for at hjælpe med at undvige automatiseret forsvar.
Det har vist sig, at RATDispenseren distribuerer og downloader nogle populære trojanske heste med fjernadgang såsom WSHRAT og STRRAT , hvor kun disse to udgør størstedelen af de observerede nyttelaster.
Hvad der er endnu mere bekymrende er, at kun 11 % af de anti-malware-værktøjer, der blev brugt i test med den nye malware, formåede at opdage det. Dette niveau af unddragelse kan betyde en masse problemer for potentielle ofre, selvom de har en sikkerhedspakke installeret.
Fjernadgangstrojanske heste og keylogger- eller infostealer-malware er særligt lumske, fordi de gør deres bedste for at undgå opdagelse, når de først er på vej til et offersystem. Der er ingen destruktiv handling, intet blinkende rødt ransomware-skilt, intet tab af systemstabilitet. Dette betyder, at de dårlige aktører, der betjener disse ondsindede værktøjer, potentielt kan bruge meget lang tid på et værtssystem, hvor de eksfiltrerer data, adgangskoder og tastetryk.