Предупреждение! Новое вредоносное ПО RAT и Infostealer, распространяемое в рамках фишинговой кампании

Исследователи в области безопасности совместно с HP отслеживают появление нового вредоносного инструмента или, скорее, набора инструментов, используемых для распространения вредоносных программ и кражи информации из систем жертв.

Первоначальной полезной нагрузкой в атаках в этой новой кампании является загрузчик файлов, закодированный на JavaScript, который, в свою очередь, используется для распространения ряда различных вторичных полезных нагрузок, состоящих из троянов удаленного доступа, учетных данных и инструментов для кражи информации. Исследовательская группа HP назвала угрозу RATDispenser из-за характера вторичной полезной нагрузки, используемой в атаках.

Исследователи обнаружили, что RATDispenser использовался для распространения до восьми различных семейств вредоносных программ. Это разнообразие также привело к условию, что сам RATDispenser может быть лицензирован для злоумышленников, использующих схему «вредоносное ПО как услуга».

Еще до того, как загрузчик JavaScript будет внедрен в систему жертвы, самым первым шагом в цепочке заражения является традиционная фишинговая кампания.

Жертвы получают фальшивое электронное письмо с «заказом продукта», содержащее, как утверждают злоумышленники, текстовый файл с информацией, относящейся к фальшивому заказу. При попытке открыть текстовый файл запускается установка загрузчика. Код JavaScript в исходной полезной нагрузке дополнительно запутывается, чтобы помочь избежать автоматической защиты.

Было обнаружено, что RATDispenser распространяет и загружает некоторые популярные трояны удаленного доступа, такие как WSHRAT и STRRAT , причем только эти два составляют большинство наблюдаемых полезных нагрузок.

Что еще более тревожно, так это то, что только 11% средств защиты от вредоносных программ, использованных в тестах с новым вредоносным ПО, смогли его обнаружить. Такой уровень уклонения может создать множество проблем для потенциальных жертв, даже если у них установлен пакет безопасности.

Трояны удаленного доступа и вредоносные программы- кейлоггеры или инфостилеры особенно коварны, потому что они делают все возможное, чтобы избежать обнаружения, когда они попадают в систему-жертву. Нет никаких разрушительных действий, нет мигающего красного знака вымогателя, нет потери стабильности системы. Это означает, что злоумышленники, использующие эти вредоносные инструменты, потенциально могут проводить очень долгое время в хост-системе, извлекая данные, пароли и нажатия клавиш.