Aviso! Um Novo RAT e Malware Infostealer Distribuído em Campanha de Phishing

Os pesquisadores de segurança da HP têm rastreado uma nova ferramenta maliciosa, ou melhor, um pacote de ferramentas usadas para espalhar malware e roubar informações dos sistemas das vítimas.

A carga útil inicial nos ataques dessa nova campanha é um downloader de arquivos codificados em JavaScript, que por sua vez são usados para distribuir uma série de cargas secundárias diferentes, compostas de Trojans de Acesso Remoto e credenciais e ferramentas de exfiltração de informações. A equipe de pesquisa da HP chamou a ameaça de RATDispenser, devido à natureza das cargas secundárias usadas nos ataques.

Os pesquisadores descobriram que o RATDispenser foi usado para distribuir até oito famílias de malware diferentes. Essa variedade também levou à estipulação de que o próprio RATDispenser pode ser licenciado pelos agentes de ameaças usando um esquema de malware-como-um-serviço.

Antes mesmo que o downloader do JavaScript seja introduzido no sistema da vítima, a primeira etapa da cadeia de infecção é uma campanha de phishing tradicional.

As vítimas recebem um falso e-mail de "pedido de produto", contendo o que os criminosos afirmam ser um arquivo de texto com informações relacionadas ao pedido falso. Tentar abrir o arquivo de texto inicia a instalação do downloader. O código JavaScript na carga inicial é ofuscado ainda mais, para ajudar a evitar defesas automatizadas.

Descobriu-se que o RATDispenser distribui e baixa alguns Trojans de Acesso Remoto populares, tais como o WSHRAT e o STRRAT, com apenas esses dois constituindo a maioria das cargas úteis observadas.

O que é ainda mais preocupante é que apenas 11% das ferramentas anti-malware usadas nos testes com o novo malware conseguiram detectá-lo. Esse nível de evasão pode significar muitos problemas para as vítimas em potencial, mesmo se elas tiverem um pacote de segurança instalado.

Os Trojans de Acesso Remoto  e malwares keylogger ou infostealers são particularmente insidiosos, porque fazem o possível para evitar a detecção assim que chegam ao sistema da vítima. Não há nenhuma ação destrutiva, nenhum sinal vermelho piscando para um ransomware, nenhuma perda de estabilidade do sistema. Isso significa que os malfeitores que operam essas ferramentas maliciosas podem passar muito tempo em um sistema host, exfiltrando dados, senhas e pressionamentos de tecla.