RATDispenser

RATDispenser说明

威胁行为者已使用名为 RATDispenser 的 JavaScript 加载程序来传送多个恶意软件系列。更具体地说,专家们已经确定了 8 个不同的远程访问木马 (RAT) 系列,这些木马在 2021 年通过 RATDispencer 传播。

攻击者使用 RATDispencer 在受感染系统上建立初始立足点。然后,威胁启动下一阶段的有效载荷,其任务是建立对设备的控制,并开始从设备中提取敏感数据。在 RATDispencer 降低的观察到的 RAT 威胁中,最大的部分,或大约 81%,被STRRATHoudini (WSH RAT) 占用。这些恶意软件威胁能够保护对受感染系统的远程访问、运行键盘记录程序和收集凭据。

RATDispenser 详细信息

最初的感染媒介涉及发送带有损坏附件的诱饵电子邮件。受害者可能会收到一封声称包含订单信息的电子邮件。为了访问所谓的重要信息,用户被定向到附件,这是一个伪装成普通文本文件的 JavaScript 文件。当受害者双击该文件时,恶意软件就会被执行。

JavaScript 文件的第一个操作是在运行时对其自身进行解码,并使用 cmd.exe 在 %TEMP% 文件夹中创建一个 VBScript 文件。然后启动新生成的VBScript文件下载有害载荷。完成其任务后,该文件将被删除。

RATDispenser 还具有多层混淆功能。因此,威胁特别难以检测,进一步证明了其作为 RAT 投放器的有效性。必须实施适当的反措施,以在尽可能早的阶段阻止攻击链。