RATDispenser

En JavaScript-laddare vid namn RATDispenser har använts av hotaktörer för att leverera flera skadliga programfamiljer. För att vara mer specifik har experterna identifierat åtta olika familjer av fjärråtkomsttrojaner (RAT) som levererades via RATDispencer 2021.

Hotaktörerna använder RATDispencer för att etablera ett första fotfäste på de komprometterade systemen. Sedan lanserar hotet nästa nyttolast, med uppgiften att etablera kontroll över enheten och börja ta bort känslig data från enheten. Bland de observerade RAT-hoten som släppts av RATDispencer togs den största delen, eller cirka 81 %, upp av STRRAT och Houdini (WSH RAT). Dessa skadliga hot kan säkra fjärråtkomst till de infekterade systemen, köra nyckelloggningsrutiner och samla in autentiseringsuppgifter.

RATDispenser Detaljer

Den initiala infektionsvektorn innebär att man levererar lockbete-e-postmeddelanden med skadade bilagor. Offer kan presenteras med ett e-postmeddelande som påstår sig innehålla information om en order. För att komma åt den förment viktiga informationen hänvisas användare till bilagan, som är en JavaScript-fil förklädd som en vanlig textfil. När offret dubbelklickar på filen exekveras skadlig programvara.

Den första åtgärden för JavaScript-filen är att avkoda sig själv vid körning och skapa en VBScript-fil i mappen %TEMP% med cmd.exe. Efteråt initieras den nygenererade VBScript-filen för att ladda ner den skadliga nyttolasten. Efter att ha slutfört sin uppgift raderas filen.

RATDispenser har också flera lager av obfuskation. Som ett resultat är hotet särskilt svårt att upptäcka, vilket ytterligare bevisar dess effektivitet som RAT-droppare. Lämpliga motåtgärder måste vidtas för att stoppa attackkedjan i ett så tidigt skede som möjligt.