RATDispenser

威胁行为者已使用名为 RATDispenser 的 JavaScript 加载程序来传送多个恶意软件系列。更具体地说，专家们已经确定了 8 个不同的远程访问木马 (RAT) 系列，这些木马在 2021 年通过 RATDispencer 传播。

攻击者使用 RATDispencer 在受感染系统上建立初始立足点。然后，威胁启动下一阶段的有效载荷，其任务是建立对设备的控制，并开始从设备中提取敏感数据。在 RATDispencer 降低的观察到的 RAT 威胁中，最大的部分，或大约 81%，被STRRAT和Houdini (WSH RAT) 占用。这些恶意软件威胁能够保护对受感染系统的远程访问、运行键盘记录程序和收集凭据。

RATDispenser 详细信息

最初的感染媒介涉及发送带有损坏附件的诱饵电子邮件。受害者可能会收到一封声称包含订单信息的电子邮件。为了访问所谓的重要信息，用户被定向到附件，这是一个伪装成普通文本文件的 JavaScript 文件。当受害者双击该文件时，恶意软件就会被执行。

JavaScript 文件的第一个操作是在运行时对其自身进行解码，并使用 cmd.exe 在 %TEMP% 文件夹中创建一个 VBScript 文件。然后启动新生成的VBScript文件下载有害载荷。完成其任务后，该文件将被删除。

RATDispenser 还具有多层混淆功能。因此，威胁特别难以检测，进一步证明了其作为 RAT 投放器的有效性。必须实施适当的反措施，以在尽可能早的阶段阻止攻击链。