Avvertimento! Nuovo malware RAT e Infostealer distribuito nella campagna di phishing

I ricercatori di sicurezza con HP hanno monitorato un nuovo strumento dannoso, o meglio un insieme di strumenti utilizzati per diffondere malware e rubare informazioni dai sistemi delle vittime.

Il payload iniziale negli attacchi di questa nuova campagna è un downloader di file codificato in JavaScript, che a sua volta viene utilizzato per distribuire una serie di payload secondari diversi composti da trojan di accesso remoto e strumenti di esfiltrazione di credenziali e informazioni. Il team di ricerca HP ha chiamato la minaccia RATDispenser , a causa della natura dei payload secondari utilizzati negli attacchi.

I ricercatori hanno scoperto che RATDispenser è stato utilizzato per distribuire fino a otto diverse famiglie di malware. Questa varietà ha anche portato alla stipula che lo stesso RATDispenser può essere concesso in licenza agli attori delle minacce che utilizzano uno schema malware-as-a-service.

Prima ancora che il downloader JavaScript venga introdotto nel sistema della vittima, il primissimo passo della catena di infezione è una tradizionale campagna di phishing.

Le vittime ricevono una falsa e-mail di "ordine del prodotto", contenente ciò che i cattivi attori sostengono sia un file di testo con informazioni relative all'ordine falso. Il tentativo di aprire il file di testo avvia l'installazione del downloader. Il codice JavaScript nel payload iniziale è ulteriormente offuscato, per aiutare a schivare le difese automatizzate.

È stato scoperto che RATDispenser distribuisce e scarica alcuni popolari trojan di accesso remoto come WSHRAT e STRRAT , con solo questi due che costituiscono la maggior parte dei payload osservati.

Ciò che è ancora più preoccupante è che solo l'11% degli strumenti antimalware utilizzati nei test con il nuovo malware è riuscito a rilevarlo. Questo livello di evasione può comportare molti problemi per le potenziali vittime, anche se hanno installato una suite di sicurezza.

I trojan di accesso remoto e keylogger o malware infostealer sono particolarmente insidiosi perché fanno del loro meglio per evitare di essere scoperti una volta che si sono fatti strada su un sistema vittima. Nessuna azione distruttiva, nessun segno di ransomware rosso lampeggiante, nessuna perdita di stabilità del sistema. Ciò significa che i malintenzionati che gestiscono questi strumenti dannosi possono potenzialmente trascorrere molto tempo su un sistema host, esfiltrando dati, password e sequenze di tasti.