RATDispenser

RATDispenser Descrizione

Un caricatore JavaScript denominato RATDispenser è stato utilizzato dagli attori delle minacce per distribuire più famiglie di malware. Per essere più precisi, gli esperti hanno identificato otto diverse famiglie di Trojan di accesso remoto (RAT) che sono stati consegnati tramite RATDispencer nel 2021.

Gli attori delle minacce utilizzano RATDispencer per stabilire un punto d'appoggio iniziale sui sistemi compromessi. Quindi, la minaccia avvia il payload della fase successiva, con il compito di stabilire il controllo sul dispositivo e iniziare a sottrarre dati sensibili dal dispositivo. Tra le minacce RAT osservate rilasciate da RATDispencer, la porzione più grande, pari a circa l'81%, è stata rilevata da STRRAT e Houdini (WSH RAT). Queste minacce malware sono in grado di proteggere l'accesso remoto ai sistemi infetti, eseguire routine di keylogging e raccogliere credenziali.

Dettagli dell'erogatore RAT

Il vettore di infezione iniziale prevede la consegna di e-mail di richiamo contenenti allegati corrotti. Alle vittime può essere presentata un'e-mail che afferma di contenere informazioni su un ordine. Per accedere alle informazioni presumibilmente importanti, gli utenti vengono indirizzati verso l'allegato, che è un file JavaScript mascherato da un normale file di testo. Quando la vittima fa doppio clic sul file, il malware viene eseguito.

La prima azione del file JavaScript consiste nel decodificarsi in fase di esecuzione e creare un file VBScript nella cartella %TEMP% utilizzando cmd.exe. Successivamente, il file VBScript appena generato viene avviato per scaricare il payload dannoso. Dopo aver completato la sua attività, il file viene eliminato.

RATDispenser dispone anche di più livelli di offuscamento. Di conseguenza, la minaccia è particolarmente difficile da rilevare, dimostrando ulteriormente la sua efficacia come contagocce RAT. Devono essere implementate contromisure appropriate per fermare la catena di attacco nelle prime fasi possibili.