Advarsel! Ny RAT- og Infostealer-malware distribuert i phishing-kampanje
Sikkerhetsforskere med HP har sporet et nytt ondsinnet verktøy, eller snarere en pakke med verktøy som brukes til å spre skadelig programvare og stjele informasjon fra offersystemer.
Den første nyttelasten i angrepene i denne nye kampanjen er en filnedlaster kodet i JavaScript, som igjen brukes til å distribuere en rekke forskjellige sekundære nyttelaster som består av trojanere med fjerntilgang og legitimasjon og informasjonseksfiltreringsverktøy. HPs forskningsteam har kalt trusselen RATDispenser , på grunn av arten av de sekundære nyttelastene som ble brukt i angrepene.
Forskere fant at RATDispenser ble brukt til å distribuere så mange som åtte forskjellige malware-familier. Denne variasjonen førte også til bestemmelsen om at RATDispenser selv kan lisensieres til trusselaktører som bruker en malware-as-a-service-ordning.
Selv før JavaScript-nedlasteren blir introdusert for offerets system, er det aller første trinnet i infeksjonskjeden en tradisjonell phishing-kampanje.
Ofrene mottar en falsk «produktbestilling»-e-post, som inneholder det de dårlige skuespillerne hevder er en tekstfil med informasjon relatert til den falske bestillingen. Å prøve å åpne tekstfilen starter installasjonen av nedlasteren. JavaScript-koden i den innledende nyttelasten tilsløres ytterligere, for å unngå automatiserte forsvar.
Det er funnet at RATDispenser distribuerer og laster ned noen populære trojanere med ekstern tilgang som WSHRAT og STRRAT , med bare de to som utgjør størstedelen av de observerte nyttelastene.
Det som er enda mer bekymringsfullt er at bare 11 % av anti-malware-verktøyene som ble brukt i tester med den nye malware klarte å oppdage det. Dette nivået av unndragelse kan bety mye trøbbel for potensielle ofre, selv om de har en sikkerhetspakke installert.
Fjerntilgangstrojanere og keylogger- eller infostealer-skadevare er spesielt lumske fordi de gjør sitt beste for å unngå oppdagelse når de først er på vei til et offersystem. Det er ingen destruktiv handling, ingen blinkende røde løsepengevareskilt, ingen tap av systemstabilitet. Dette betyr at de dårlige aktørene som bruker de ondsinnede verktøyene potensielt kan bruke veldig lang tid på et vertssystem, og eksfiltrere data, passord og tastetrykk.