RATDispenser

En JavaScript-laster kalt RATDispenser har blitt brukt av trusselaktører for å levere flere skadevarefamilier. For å være mer spesifikk, har ekspertene identifisert åtte forskjellige familier av Remote Access Trojans (RAT) som ble levert via RATDispencer i 2021.

Trusselaktørene bruker RATDispencer for å etablere et første fotfeste på de kompromitterte systemene. Deretter lanserer trusselen nyttelasten i neste trinn, som har i oppgave å etablere kontroll over enheten, og begynner å suge inn sensitive data fra enheten. Blant de observerte RAT-truslene som ble droppet av RATDispencer, ble den største delen, eller rundt 81 %, tatt opp av STRRAT og Houdini (WSH RAT). Disse skadelige truslene er i stand til å sikre ekstern tilgang til de infiserte systemene, kjøre keylogging-rutiner og samle inn legitimasjon.

RATDispenserdetaljer

Den første infeksjonsvektoren innebærer å levere lokke-e-poster med ødelagte vedlegg. Ofre kan bli presentert for en e-post som hevder å inneholde informasjon om en ordre. For å få tilgang til den antatt viktige informasjonen, blir brukere rettet mot vedlegget, som er en JavaScript-fil forkledd som en vanlig tekstfil. Når offeret dobbeltklikker på filen, blir skadelig programvare utført.

Den første handlingen til JavaScript-filen er å dekode seg selv under kjøring og lage en VBScript-fil i %TEMP%-mappen ved å bruke cmd.exe. Etterpå startes den nylig genererte VBScript-filen for å laste ned den skadelige nyttelasten. Etter å ha fullført oppgaven, slettes filen.

RATDispense har også flere lag med tilsløring. Som et resultat er trusselen spesielt vanskelig å oppdage, noe som ytterligere beviser effektiviteten som en RAT-dråper. Det må iverksettes hensiktsmessige mottiltak for å stoppe angrepskjeden på et tidligst mulig stadium.