RATDispenser

En JavaScript-indlæser ved navn RATDispenser er blevet brugt af trusselsaktører til at levere flere malware-familier. For at være mere specifik har eksperterne identificeret otte forskellige familier af Remote Access Trojans (RAT'er), der blev leveret via RATDispencer i 2021.

Trusselsaktørerne bruger RATDispencer til at etablere et indledende fodfæste på de kompromitterede systemer. Derefter lancerer truslen næste trins nyttelast, som har til opgave at etablere kontrol over enheden og begynde at suge følsomme data fra enheden. Blandt de observerede RAT-trusler, der blev droppet af RATDispencer, blev den største del, eller omkring 81 %, optaget af STRRAT og Houdini (WSH RAT). Disse malware-trusler er i stand til at sikre fjernadgang til de inficerede systemer, køre keylogging-rutiner og indsamle legitimationsoplysninger.

RATDispenser detaljer

Den indledende infektionsvektor involverer levering af lokke-e-mails med beskadigede vedhæftede filer. Ofre kan blive præsenteret for en e-mail, der hævder at indeholde oplysninger om en ordre. For at få adgang til den formodede vigtige information, bliver brugerne dirigeret til den vedhæftede fil, som er en JavaScript-fil forklædt som en normal tekstfil. Når offeret dobbeltklikker på filen, udføres malwaren.

Den første handling af JavaScript-filen er at afkode sig selv under kørsel og oprette en VBScript-fil i mappen %TEMP% ved hjælp af cmd.exe. Bagefter startes den nyligt genererede VBScript-fil for at downloade den skadelige nyttelast. Efter at have fuldført sin opgave, slettes filen.

RATDispenser har også flere lag af sløring. Som et resultat er truslen særligt vanskelig at opdage, hvilket yderligere beviser dens effektivitet som RAT-dropper. Der skal iværksættes passende modforanstaltninger for at stoppe angrebskæden på de tidligst mulige stadier.