RATDispenser

RATDispenser說明

威脅行為者已使用名為 RATDispenser 的 JavaScript 加載程序來傳送多個惡意軟件系列。更具體地說,專家們已經確定了 8 個不同的遠程訪問木馬 (RAT) 系列,這些木馬在 2021 年通過 RATDispencer 傳播。

攻擊者使用 RATDispencer 在受感染系統上建立初始立足點。然後,威脅啟動下一階段的有效載荷,其任務是建立對設備的控制,並開始從設備中提取敏感數據。在觀察到的 RATDispencer 下降的 RAT 威脅中,最大的部分,或大約 81%,被STRRATHoudini (WSH RAT) 佔用。這些惡意軟件威脅能夠保護對受感染系統的遠程訪問、運行鍵盤記錄程序和收集憑據。

RATDispenser 詳細信息

最初的感染媒介涉及發送帶有損壞附件的誘餌電子郵件。受害者可能會收到一封聲稱包含訂單信息的電子郵件。為了訪問所謂的重要信息,用戶被定向到附件,這是一個偽裝成普通文本文件的 JavaScript 文件。當受害者雙擊該文件時,惡意軟件就會被執行。

JavaScript 文件的第一個操作是在運行時對其自身進行解碼,並使用 cmd.exe 在 %TEMP% 文件夾中創建一個 VBScript 文件。然後啟動新生成的VBScript文件下載有害載荷。完成其任務後,該文件將被刪除。

RATDispenser 還具有多層混淆功能。因此,威脅特別難以檢測,進一步證明了其作為 RAT 投放器的有效性。必須實施適當的反措施,以在盡可能早的階段阻止攻擊鏈。