RATDispenser

Een JavaScript-lader met de naam RATDispenser is door bedreigingsactoren gebruikt om meerdere malwarefamilies te leveren. Om specifieker te zijn, hebben de experts acht verschillende families van Remote Access Trojans (RAT's) geïdentificeerd die in 2021 via RATDispencer zijn geleverd.

De dreigingsactoren gebruiken RATDispencer om een eerste voet aan de grond te krijgen op de gecompromitteerde systemen. Vervolgens lanceert de dreiging de payload van de volgende fase, die de controle over het apparaat moet krijgen en gevoelige gegevens van het apparaat moet overhevelen. Van de waargenomen RAT-bedreigingen die door RATDispencer zijn gedaald, werd het grootste deel, of ongeveer 81%, opgepakt door STRRAT en Houdini (WSH RAT). Deze malwarebedreigingen zijn in staat om externe toegang tot de geïnfecteerde systemen te beveiligen, keylogging-routines uit te voeren en inloggegevens te verzamelen.

RATDispenser-details

De initiële infectievector omvat het afleveren van lokmails met beschadigde bijlagen. Slachtoffers kunnen een e-mail krijgen waarin wordt beweerd informatie over een bestelling te bevatten. Om toegang te krijgen tot de zogenaamd belangrijke informatie, worden gebruikers doorverwezen naar de bijlage, een JavaScript-bestand vermomd als een normaal tekstbestand. Wanneer het slachtoffer dubbelklikt op het bestand, wordt de malware uitgevoerd.

De eerste actie van het JavaScript-bestand is om zichzelf tijdens runtime te decoderen en een VBScript-bestand te maken in de map %TEMP% met behulp van cmd.exe. Daarna wordt het nieuw gegenereerde VBScript-bestand gestart om de schadelijke payload te downloaden. Na het voltooien van zijn taak, wordt het bestand verwijderd.

RATDispenser beschikt ook over meerdere lagen van verduistering. Als gevolg hiervan is de dreiging bijzonder moeilijk te detecteren, wat de doeltreffendheid ervan als RAT-druppelaar verder aantoont. Er moeten passende tegenmaatregelen worden genomen om de aanvalsketen in een zo vroeg mogelijk stadium te stoppen.