RATDispenser

Descrição do RATDispenser

Um carregador do JavaScript denominado RATDispenser foi usado pelos agentes de ameaças para entregar várias famílias de malware. Para ser mais específico, os especialistas identificaram oito famílias diferentes de Trojans de Acesso Remoto (RATs) que foram entregues via RATDispencer em 2021.

Os autores da ameaça usam o RATDispencer para estabelecer uma base inicial nos sistemas comprometidos. Em seguida, a ameaça lança a carga útil do próximo estágio, com a tarefa de estabelecer o controle sobre o dispositivo e começar a extrair dados confidenciais do dispositivo. Entre as ameaças RAT observadas sendo entregue pelo RATDispencer, a maior parte, ou cerca de 81%, foi assumida pelo STRRAT e o Houdini (WSH RAT). Essas ameaças de malware são capazes de proteger o acesso remoto aos sistemas infectados, executando rotinas de keylogging e coletando credenciais.

Detalhes sobre o RATDispenser

O vetor de infecção inicial envolve a entrega de e-mails de isca com anexos corrompidos. As vítimas podem receber um e-mail alegando conter informações sobre um pedido. Para acessar as informações supostamente importantes, os usuários são direcionados ao anexo, que é um arquivo JavaScript disfarçado como um arquivo de texto normal. Quando a vítima clica duas vezes no arquivo, o malware é executado.

A primeira ação do arquivo JavaScript é decodificar-se em tempo de execução e criar um arquivo VBScript na pasta% TEMP% usando cmd.exe. Posteriormente, o arquivo VBScript recém-gerado é iniciado para baixar a carga prejudicial. Depois de concluir sua tarefa, o arquivo é excluído.

O RATDispense também apresenta várias camadas de ofuscação. Como resultado, a ameaça é particularmente difícil de detectar, comprovando ainda mais a sua eficácia como um dropper RAT. Contra-medidas apropriadas devem ser implementadas para interromper a cadeia de ataque nos estágios mais iniciais possíveis.