警告！网络钓鱼活动中传播的新 RAT 和信息窃取恶意软件

惠普的安全研究人员一直在跟踪一种新的恶意工具，或者更确切地说是一组用于传播恶意软件和从受害者系统窃取信息的工具。

在这次新活动中，攻击的初始负载是一个用 JavaScript 编码的文件下载器，它反过来用于分发许多不同的辅助负载，包括远程访问木马、凭据和信息泄露工具。由于攻击中使用的辅助负载的性质，惠普研究团队将威胁称为RATDispenser 。

研究人员发现 RATDispenser 被用来分发多达八个不同的恶意软件系列。这种多样性还导致规定 RATDispenser 本身可能会被授权给使用恶意软件即服务方案的威胁行为者。

在 JavaScript 下载器被引入受害者系统之前，感染链的第一步是传统的网络钓鱼活动。

受害者会收到一封虚假的"产品订单"电子邮件，其中包含恶意行为者声称的文本文件，其中包含与虚假订单相关的信息。尝试打开文本文件会启动下载程序的安装。初始负载中的 JavaScript 代码被进一步混淆，以帮助躲避自动防御。

已经发现 RATDispenser 会分发和下载一些流行的远程访问木马，例如WSHRAT和STRRAT ，其中仅这两个构成了观察到的主要负载。

更令人担忧的是，在新恶意软件测试中使用的反恶意软件工具中，只有 11% 能够检测到它。这种级别的规避会给潜在的受害者带来很多麻烦，即使他们确实安装了安全套件。

远程访问木马和键盘记录器或信息窃取恶意软件特别阴险，因为一旦进入受害者系统，它们就会尽最大努力避免被检测到。没有破坏性的动作，没有闪烁的红色勒索软件标志，没有系统稳定性的损失。这意味着操作这些恶意工具的不法分子可能会在主机系统上花费很长时间，窃取数据、密码和击键。