警告！網絡釣魚活動中傳播的新 RAT 和信息竊取惡意軟件

惠普的安全研究人員一直在跟踪一種新的惡意工具，或者更確切地說是一組用於傳播惡意軟件和從受害者係統竊取信息的工具。

在這次新活動中，攻擊的初始負載是一個用 JavaScript 編碼的文件下載器，它反過來用於分發許多不同的輔助負載，包括遠程訪問木馬、憑據和信息洩露工具。由於攻擊中使用的輔助負載的性質，惠普研究團隊將威脅稱為RATDispenser 。

研究人員發現 RATDispenser 被用來分發多達八個不同的惡意軟件系列。這種多樣性還導致規定 RATDispenser 本身可能會被授權給使用惡意軟件即服務計劃的威脅行為者。

在 JavaScript 下載器被引入受害者係統之前，感染鏈的第一步是傳統的網絡釣魚活動。

受害者會收到一封虛假的"產品訂單"電子郵件，其中包含惡意行為者聲稱的文本文件，其中包含與虛假訂單相關的信息。嘗試打開文本文件會啟動下載程序的安裝。初始負載中的 JavaScript 代碼被進一步混淆，以幫助躲避自動防禦。

已經發現 RATDispenser 會分發和下載一些流行的遠程訪問木馬，例如WSHRAT和STRRAT ，其中僅這兩個構成了觀察到的主要負載。

更令人擔憂的是，在新惡意軟件測試中使用的反惡意軟件工具中，只有 11% 能夠檢測到它。即使他們確實安裝了安全套件，這種級別的規避也會給潛在受害者帶來很多麻煩。

遠程訪問木馬和鍵盤記錄器或信息竊取惡意軟件特別陰險，因為一旦進入受害者係統，它們就會盡最大努力避免被檢測到。沒有破壞性的動作，沒有閃爍的紅色勒索軟件標誌，沒有系統穩定性的損失。這意味著操作這些惡意工具的不法分子可能會在主機系統上花費很長時間，竊取數據、密碼和擊鍵。