Ostrzeżenie! Nowe złośliwe oprogramowanie RAT i Infostealer rozpowszechniane w kampanii phishingowej
Badacze bezpieczeństwa z HP śledzą nowe złośliwe narzędzie, a raczej zestaw narzędzi wykorzystywanych do rozprzestrzeniania złośliwego oprogramowania i kradzieży informacji z systemów ofiar.
Początkowym ładunkiem w atakach w tej nowej kampanii jest narzędzie do pobierania plików zakodowane w JavaScript, które z kolei jest wykorzystywane do dystrybucji wielu różnych dodatkowych ładunków składających się z trojanów zdalnego dostępu oraz narzędzi do pobierania danych uwierzytelniających i eksfiltracji informacji. Zespół badawczy HP nazwał zagrożenie RATDispenser ze względu na charakter dodatkowych ładunków używanych w atakach.
Badacze odkryli, że RATDispenser był wykorzystywany do dystrybucji aż ośmiu różnych rodzin złośliwego oprogramowania. Ta różnorodność doprowadziła również do zastrzeżenia, że sam RATDispenser może być licencjonowany dla cyberprzestępców korzystających ze schematu złośliwego oprogramowania jako usługi.
Zanim jeszcze narzędzie do pobierania JavaScript zostanie wprowadzone do systemu ofiary, pierwszym krokiem w łańcuchu infekcji jest tradycyjna kampania phishingowa.
Ofiary otrzymują fałszywą wiadomość e-mail z „zamówieniem produktu", zawierającą, jak twierdzą źli aktorzy, plik tekstowy z informacjami związanymi z fałszywym zamówieniem. Próba otwarcia pliku tekstowego rozpoczyna instalację downloadera. Kod JavaScript w początkowym ładunku jest dodatkowo zaciemniony, aby pomóc uniknąć automatycznych mechanizmów obronnych.
Odkryto, że RATDispenser dystrybuuje i pobiera niektóre popularne trojany dostępu zdalnego, takie jak WSHRAT i STRRAT , przy czym tylko te dwa stanowią większość zaobserwowanych ładunków.
Jeszcze bardziej niepokojące jest to, że zaledwie 11% narzędzi antywirusowych wykorzystywanych w testach nowego złośliwego oprogramowania zdołało go wykryć. Ten poziom uników może oznaczać wiele kłopotów potencjalnym ofiarom, nawet jeśli mają zainstalowany pakiet bezpieczeństwa.
Trojany zdalnego dostępu i złośliwe oprogramowanie typu keylogger lub infostealer są szczególnie podstępne, ponieważ robią wszystko, co w ich mocy, aby uniknąć wykrycia, gdy dostaną się do systemu ofiary. Nie ma żadnych destrukcyjnych działań, żadnego migającego czerwonego znaku ransomware, żadnej utraty stabilności systemu. Oznacza to, że źli aktorzy obsługujący te złośliwe narzędzia mogą potencjalnie spędzać bardzo dużo czasu w systemie hosta, eksfiltrując dane, hasła i naciśnięcia klawiszy.