Varning! Ny RAT- och Infostealer-malware distribuerad i nätfiskekampanj

Säkerhetsforskare med HP har spårat ett nytt skadligt verktyg, eller snarare en bunt verktyg som används för att sprida skadlig programvara och stjäla information från offersystem.

Den initiala nyttolasten i attackerna i den här nya kampanjen är en filnedladdare kodad i JavaScript, som i sin tur används för att distribuera ett antal olika sekundära nyttolaster som består av trojaner med fjärråtkomst och referenser och verktyg för informationsexfiltrering. HP:s forskargrupp har kallat hotet RATDispenser , på grund av arten av de sekundära nyttolaster som används i attackerna.

Forskare fann att RATDispenser användes för att distribuera så många som åtta olika skadliga programfamiljer. Denna variation ledde också till att RATDispenser själv kan licensieras ut till hotaktörer som använder ett malware-as-a-service-schema.

Innan ens JavaScript-nedladdaren introduceras i offrets system, är det allra första steget i infektionskedjan en traditionell nätfiskekampanj.

Offren får ett falskt e-postmeddelande med "produktbeställning", som innehåller vad de dåliga skådespelarna hävdar är en textfil med information relaterad till den falska beställningen. Om du försöker öppna textfilen startar installationen av nedladdningsprogrammet. JavaScript-koden i den initiala nyttolasten fördunklas ytterligare för att hjälpa till att undvika automatiserade försvar.

RATDispenser har visat sig distribuera och ladda ner några populära fjärråtkomsttrojaner som WSHRAT och STRRAT , med bara dessa två som utgör majoriteten av observerade nyttolaster.

Vad som är ännu mer oroande är att bara 11 % av verktygen mot skadlig programvara som används i tester med den nya skadliga programvaran lyckades upptäcka den. Denna nivå av flykt kan innebära mycket problem för potentiella offer, även om de har en säkerhetssvit installerad.

Fjärråtkomsttrojaner och skadlig programvara för keylogger eller infostealer är särskilt lömska eftersom de gör sitt bästa för att undvika upptäckt när de väl tar sig till ett offersystem. Det finns ingen destruktiv åtgärd, ingen blinkande röd ransomware-skylt, ingen förlust av systemstabilitet. Detta innebär att de dåliga aktörerna som använder de skadliga verktygen potentiellt kan spendera mycket lång tid på ett värdsystem och exfiltrera data, lösenord och tangenttryckningar.