RATDispenser
कई मैलवेयर परिवारों को वितरित करने के लिए धमकी देने वाले अभिनेताओं द्वारा RATDispenser नाम के एक जावास्क्रिप्ट लोडर का उपयोग किया गया है। अधिक विशिष्ट होने के लिए, विशेषज्ञों ने रिमोट एक्सेस ट्रोजन (आरएटी) के आठ अलग-अलग परिवारों की पहचान की है जो 2021 में आरएटीडिस्पेंसर के माध्यम से वितरित किए गए थे।
खतरे वाले अभिनेता समझौता किए गए सिस्टम पर प्रारंभिक पैर जमाने के लिए RATDispencer का उपयोग करते हैं। फिर, खतरा अगले चरण के पेलोड को लॉन्च करता है, जिसे डिवाइस पर नियंत्रण स्थापित करने का काम सौंपा जाता है, और डिवाइस से संवेदनशील डेटा को साइफन करना शुरू कर देता है। RATDispencer, सबसे बड़ी भाग, या चारों ओर 81% की गिरावट मनाया RAT खतरों के अलावा, द्वारा लिया गया था STRRAT और हूडिनी (WSH RAT)। ये मैलवेयर खतरे संक्रमित सिस्टम तक दूरस्थ पहुंच हासिल करने, कीलॉगिंग रूटीन चलाने और क्रेडेंशियल एकत्र करने में सक्षम हैं।
आरएटी डिस्पेंसर विवरण
प्रारंभिक संक्रमण वेक्टर में दूषित अटैचमेंट वाले लालच वाले ईमेल वितरित करना शामिल है। पीड़ितों को एक ईमेल के साथ प्रस्तुत किया जा सकता है जिसमें एक आदेश के बारे में जानकारी होने का दावा किया जा सकता है। माना जाता है कि महत्वपूर्ण जानकारी तक पहुंचने के लिए, उपयोगकर्ताओं को अनुलग्नक की ओर निर्देशित किया जाता है, जो एक सामान्य टेक्स्ट फ़ाइल के रूप में प्रच्छन्न एक जावास्क्रिप्ट फ़ाइल है। जब पीड़ित फ़ाइल पर डबल-क्लिक करता है, तो मैलवेयर निष्पादित हो जाता है।
जावास्क्रिप्ट फ़ाइल की पहली क्रिया रनटाइम पर खुद को डीकोड करना और cmd.exe का उपयोग करके% TEMP% फ़ोल्डर में एक VBScript फ़ाइल बनाना है। बाद में, हानिकारक पेलोड को डाउनलोड करने के लिए नव-निर्मित वीबीस्क्रिप्ट फ़ाइल शुरू की जाती है। अपना कार्य पूरा करने के बाद, फ़ाइल हटा दी जाती है।
RATDispenser में अस्पष्टता की कई परतें भी होती हैं। नतीजतन, खतरे का पता लगाने के लिए विशेष रूप से मुश्किल है, आगे आरएटी ड्रॉपर के रूप में इसकी प्रभावशीलता साबित होती है। जल्द से जल्द संभव चरणों में हमले की श्रृंखला को रोकने के लिए उपयुक्त प्रति-उपायों को लागू किया जाना चाहिए।
