Waarschuwing! Nieuwe RAT- en Infostealer-malware verspreid in phishingcampagne
Beveiligingsonderzoekers met HP hebben een nieuwe kwaadaardige tool gevolgd, of liever een bundel tools die worden gebruikt om malware te verspreiden en informatie van slachtoffersystemen te stelen.
De initiële payload van de aanvallen in deze nieuwe campagne is een bestandsdownloader die is gecodeerd in JavaScript, die op zijn beurt wordt gebruikt om een aantal verschillende secundaire payloads te distribueren, bestaande uit trojans voor externe toegang en inloggegevens en tools voor informatie-exfiltratie. Het HP-onderzoeksteam heeft de dreiging RATDispenser genoemd , vanwege de aard van de secundaire payloads die bij de aanvallen worden gebruikt.
Onderzoekers ontdekten dat RATDispenser werd gebruikt om maar liefst acht verschillende malwarefamilies te verspreiden. Deze variatie leidde ook tot de bepaling dat RATDispenser zelf in licentie mag worden gegeven aan bedreigingsactoren met behulp van een malware-as-a-service-schema.
Voordat zelfs de JavaScript-downloader op het systeem van het slachtoffer wordt geïntroduceerd, is de allereerste stap van de infectieketen een traditionele phishing-campagne.
Slachtoffers ontvangen een valse e-mail met een "productbestelling", met daarin wat de kwaadwillenden beweren een tekstbestand te zijn met informatie over de valse bestelling. Als u probeert het tekstbestand te openen, wordt de installatie van de downloader gestart. De JavaScript-code in de initiële payload is verder versluierd om geautomatiseerde verdedigingen te helpen ontwijken.
Het is gebleken dat de RATDispenser enkele populaire trojans voor externe toegang, zoals WSHRAT en STRRAT , distribueert en downloadt, waarbij alleen die twee de meerderheid van de waargenomen payloads vormen.
Wat nog zorgwekkender is, is dat slechts 11% van de anti-malwaretools die in tests met de nieuwe malware werden gebruikt, deze kon detecteren. Dit niveau van ontduiking kan veel problemen opleveren voor potentiële slachtoffers, zelfs als ze wel een beveiligingssuite hebben geïnstalleerd.
Trojaanse paarden voor externe toegang en keylogger- of infostealer-malware zijn bijzonder verraderlijk omdat ze hun best doen om detectie te voorkomen zodra ze op een slachtoffersysteem terechtkomen. Er is geen destructieve actie, geen knipperend rood ransomware-teken, geen verlies van systeemstabiliteit. Dit betekent dat de kwaadwillenden die deze kwaadaardige tools bedienen, mogelijk een zeer lange tijd op een hostsysteem kunnen doorbrengen en gegevens, wachtwoorden en toetsaanslagen kunnen exfiltreren.