RATDispenser

RATDispenser adlı bir JavaScript yükleyici, birden çok kötü amaçlı yazılım ailesi sunmak için tehdit aktörleri tarafından kullanılmıştır. Daha açık olmak gerekirse, uzmanlar 2021'de RATDispencer aracılığıyla teslim edilen sekiz farklı Uzaktan Erişim Truva Atı (RAT) ailesi belirlediler.

Tehdit aktörleri, güvenliği ihlal edilmiş sistemler üzerinde bir başlangıç noktası oluşturmak için RATDispencer'ı kullanır. Ardından tehdit, cihaz üzerinde kontrol sağlamak ve cihazdan hassas verileri sifonlamaya başlamakla görevli bir sonraki aşama yükünü başlatır. RATDispencer tarafından düşürülen gözlemlenen RAT tehditleri arasında en büyük kısım veya yaklaşık %81, STRRAT ve Houdini (WSH RAT) tarafından alındı. Bu kötü amaçlı yazılım tehditleri, virüslü sistemlere uzaktan erişim sağlama, tuş günlüğü rutinleri çalıştırma ve kimlik bilgilerini toplama yeteneğine sahiptir.

RAT Dağıtıcı Ayrıntıları

İlk enfeksiyon vektörü, bozuk ekler taşıyan cazibeli e-postaların teslim edilmesini içerir. Mağdurlara bir sipariş hakkında bilgi içerdiğini iddia eden bir e-posta sunulabilir. Sözde önemli bilgilere erişmek için kullanıcılar, normal bir metin dosyası olarak gizlenmiş bir JavaScript dosyası olan eke yönlendirilir. Kurban dosyayı çift tıkladığında, kötü amaçlı yazılım yürütülür.

JavaScript dosyasının ilk eylemi, çalışma zamanında kendi kodunu çözmek ve cmd.exe kullanarak %TEMP% klasöründe bir VBScript dosyası oluşturmaktır. Ardından, zararlı yükü indirmek için yeni oluşturulan VBScript dosyası başlatılır. Görevini tamamladıktan sonra dosya silinir.

RATTispenser ayrıca birden çok gizleme katmanına sahiptir. Sonuç olarak, tehdidin tespit edilmesi özellikle zordur ve bir RAT damlalığı olarak etkinliğini daha da kanıtlamaktadır. Saldırı zincirini mümkün olan en erken aşamalarda durdurmak için uygun karşı önlemler uygulanmalıdır.