RAT-annostelija

Uhkatoimijat ovat käyttäneet RATDispenser-nimistä JavaScript-lataajaa useiden haittaohjelmaperheiden toimittamiseen. Tarkemmin sanottuna asiantuntijat ovat tunnistaneet kahdeksan erilaista Remote Access Troijan (RAT) perhettä, jotka toimitettiin RATDispencerin kautta vuonna 2021.

Uhkatoimijat käyttävät RATDispenceriä perustaakseen alustavan jalansijan vaarantuneissa järjestelmissä. Sitten uhka käynnistää seuraavan vaiheen hyötykuorman, jonka tehtävänä on määrittää laitteen hallinta ja aloittaa arkaluonteisten tietojen siirtäminen laitteesta. RATDispencerin poistamista havaituista RAT-uhkista suurimman osan, noin 81 %, ottivat STRRAT ja Houdini (WSH RAT). Nämä haittaohjelmauhat pystyvät turvaamaan etäkäytön tartunnan saaneisiin järjestelmiin, suorittamaan näppäinlokirutiineja ja keräämään tunnistetietoja.

RAT-annostelijan tiedot

Alkuperäinen tartuntavektori sisältää vioittuneita liitteitä sisältävien houkutussähköpostien toimittamisen. Uhreille voidaan lähettää sähköposti, jossa väitetään sisältävän tietoja tilauksesta. Päästäkseen käsiksi oletettavasti tärkeisiin tietoihin käyttäjät ohjataan liitteeseen, joka on tavalliseksi tekstitiedostoksi naamioitu JavaScript-tiedosto. Kun uhri kaksoisnapsauttaa tiedostoa, haittaohjelma suoritetaan.

JavaScript-tiedoston ensimmäinen toiminto on purkaa itsensä ajon aikana ja luoda VBScript-tiedosto %TEMP%-kansioon cmd.exe-tiedoston avulla. Tämän jälkeen äskettäin luotu VBScript-tiedosto käynnistetään haitallisen hyötykuorman lataamiseksi. Kun tehtävänsä on suoritettu, tiedosto poistetaan.

RATDispense sisältää myös useita hämärätasoja. Tämän seurauksena uhka on erityisen vaikea havaita, mikä osoittaa entisestään sen tehokkuuden RAT-pisarajana. Asianmukaiset vastatoimenpiteet on toteutettava hyökkäysketjun pysäyttämiseksi mahdollisimman aikaisessa vaiheessa.