Varoitus! Uusia RAT- ja Infostealer-haittaohjelmia on jaettu tietojenkalastelukampanjassa

Tietoturvatutkijat HP:n kanssa ovat jäljittäneet uutta haitallista työkalua, tai pikemminkin joukkoa työkaluja, joita käytetään haittaohjelmien levittämiseen ja tietojen varastamiseen uhrijärjestelmistä.

Tämän uuden kampanjan hyökkäysten ensimmäinen hyötykuorma on JavaScriptillä koodattu tiedostolatausohjelma, jota puolestaan käytetään useiden erilaisten toissijaisten hyötykuormien jakamiseen, jotka koostuvat etäkäyttötroijalaisista ja tunnistetiedoista sekä tietojen suodatustyökaluista. HP:n tutkimusryhmä on kutsunut uhkaa RATDispenseriksi hyökkäyksissä käytettyjen toissijaisten hyötykuormien luonteen vuoksi.

Tutkijat havaitsivat, että RATDispenseria käytettiin jopa kahdeksan eri haittaohjelmaperheen levittämiseen. Tämä vaihtelu johti myös siihen, että RATDispenser itse voidaan lisensoida uhkatoimijoille käyttämällä haittaohjelmia palveluna -järjestelmää.

Ennen kuin JavaScript-latausohjelma edes esitellään uhrin järjestelmään, tartuntaketjun ensimmäinen askel on perinteinen tietojenkalastelukampanja.

Uhrit saavat väärennetyn "tuotetilaus"-sähköpostin, joka sisältää huonojen toimijoiden väittämän tekstitiedoston, joka sisältää väärennettyä tilausta koskevia tietoja. Tekstitiedoston avaaminen aloittaa latausohjelman asennuksen. Alkuperäisen hyötykuorman JavaScript-koodi hämärtyy entisestään, jotta automatisoitua puolustusta voidaan välttää.

RATDispenserin on havaittu levittävän ja lataavan joitain suosittuja etäkäyttötroijalaisia, kuten WSHRAT ja STRRAT , ja juuri nämä kaksi muodostavat suurimman osan havaituista hyötykuormista.

Vielä huolestuttavampaa on, että vain 11 % uuden haittaohjelman testeissä käytetyistä haittaohjelmien torjuntatyökaluista onnistui havaitsemaan sen. Tämän tason kierto voi aiheuttaa paljon ongelmia mahdollisille uhreille, vaikka heillä olisikin asennettuna tietoturvaohjelmisto.

Etäkäyttötroijalaiset ja keylogger- tai infostealer-haittaohjelmat ovat erityisen salakavalia, koska ne tekevät parhaansa välttääkseen havaitsemisen, kun ne pääsevät uhrijärjestelmään. Ei ole tuhoisaa toimintaa, ei vilkkuvaa punaista kiristysohjelmamerkkiä, ei järjestelmän vakauden menetystä. Tämä tarkoittaa, että huonot toimijat, jotka käyttävät näitä haitallisia työkaluja, voivat viettää erittäin pitkän ajan isäntäjärjestelmässä, tunkeutumalla tietoja, salasanoja ja näppäinpainalluksia.