Uyarı! Kimlik Avı Kampanyasında Dağıtılan Yeni RAT ve Infostealer Kötü Amaçlı Yazılımları

HP'deki güvenlik araştırmacıları, yeni bir kötü amaçlı aracı veya daha doğrusu kötü amaçlı yazılımları yaymak ve kurban sistemlerinden bilgi çalmak için kullanılan bir araç paketini izliyorlar.

Bu yeni kampanyadaki saldırılarda ilk yük, JavaScript ile kodlanmış bir dosya indiricidir ve bu da uzaktan erişim truva atları, kimlik bilgileri ve bilgi sızma araçlarından oluşan bir dizi farklı ikincil yükü dağıtmak için kullanılır. HP araştırma ekibi, saldırılarda kullanılan ikincil yüklerin doğası gereği tehdidi RATDispenser olarak adlandırdı.

Araştırmacılar, RATDispenser'ın sekiz farklı kötü amaçlı yazılım ailesini dağıtmak için kullanıldığını buldu. Bu çeşitlilik, aynı zamanda, RATDispenser'ın kendisinin bir hizmet olarak kötü amaçlı yazılım şeması kullanan tehdit aktörlerine lisans verilebilmesi şartına da yol açtı.

JavaScript indiricisi kurbanın sistemine tanıtılmadan önce, bulaşma zincirinin ilk adımı geleneksel bir kimlik avı kampanyasıdır.

Kurbanlar, kötü niyetli kişilerin iddia ettikleri sahte siparişle ilgili bilgileri içeren bir metin dosyasını içeren sahte bir "ürün siparişi" e-postası alırlar. Metin dosyasını açmaya çalışmak, indiricinin kurulumunu başlatır. İlk yükteki JavaScript kodu, otomatikleştirilmiş savunmalardan kaçınmaya yardımcı olmak için daha da karıştırılmıştır.

RATDispenser'ın WSHRAT ve STRRAT gibi bazı popüler uzaktan erişim truva atlarını dağıttığı ve indirdiği ve yalnızca bu ikisinin gözlemlenen yüklerin çoğunluğunu oluşturduğu bulunmuştur.

Daha da endişe verici olan şey, yeni kötü amaçlı yazılımla yapılan testlerde kullanılan kötü amaçlı yazılımdan koruma araçlarının yalnızca %11'inin onu algılamayı başarmasıdır. Bu düzeyde bir kaçınma, yüklü bir güvenlik paketine sahip olsalar bile potansiyel kurbanlar için çok fazla sorun yaratabilir.

Uzaktan erişim truva atları ve keylogger veya infostealer kötü amaçlı yazılımları özellikle sinsidir çünkü kurban bir sisteme girdiklerinde algılanmamak için ellerinden gelenin en iyisini yaparlar. Yıkıcı eylem yok, yanıp sönen kırmızı fidye yazılımı işareti yok, sistem kararlılığı kaybı yok. Bu, bu kötü niyetli araçları çalıştıran kötü niyetli kişilerin, potansiyel olarak bir ana sistemde çok uzun zaman harcayarak verileri, şifreleri ve tuş vuruşlarını sızdırabileceği anlamına gelir.