RATDispenser

Program ładujący JavaScript o nazwie RATDispenser był używany przez cyberprzestępców do dostarczania wielu rodzin złośliwego oprogramowania. Mówiąc dokładniej, eksperci zidentyfikowali osiem różnych rodzin trojanów zdalnego dostępu (RAT), które zostały dostarczone za pośrednictwem RATDispencer w 2021 roku.

Aktorzy wykorzystujący zagrożenie używają ratDispencera do ustanowienia początkowego przyczółka na zaatakowanych systemach. Następnie zagrożenie uruchamia ładunek następnego etapu, którego zadaniem jest przejęcie kontroli nad urządzeniem i rozpoczęcie pobierania z urządzenia poufnych danych. Wśród zaobserwowanych zagrożeń RAT odrzuconych przez RATDispencer największą część, bo około 81%, zajęły STRRAT i Houdini (WSH RAT). Te zagrożenia złośliwym oprogramowaniem są w stanie zabezpieczyć zdalny dostęp do zainfekowanych systemów, uruchamiać procedury keyloggera i zbierać dane uwierzytelniające.

RADTyspenser Szczegóły

Początkowy wektor infekcji polega na dostarczaniu e-maili z przynętą zawierających uszkodzone załączniki. Ofiary mogą otrzymać wiadomość e-mail z informacją o zamówieniu. Aby uzyskać dostęp do rzekomo ważnych informacji, użytkownicy są kierowani do załącznika, który jest plikiem JavaScript zamaskowanym jako zwykły plik tekstowy. Gdy ofiara dwukrotnie kliknie plik, złośliwe oprogramowanie zostanie wykonane.

Pierwszą czynnością pliku JavaScript jest zdekodowanie się w czasie wykonywania i utworzenie pliku VBScript w folderze %TEMP% za pomocą cmd.exe. Następnie nowo wygenerowany plik VBScript jest inicjowany w celu pobrania szkodliwego ładunku. Po wykonaniu zadania plik jest usuwany.

RATDispenser posiada również wiele warstw zaciemniania. W rezultacie zagrożenie jest szczególnie trudne do wykrycia, co dodatkowo dowodzi jego skuteczności jako droppera RAT. Należy wdrożyć odpowiednie środki zaradcze, aby zatrzymać łańcuch ataków na najwcześniejszych możliwych etapach.