Хакерские группы используют ранее не документированный штамм вредоносного ПО на JavaScript, который функционирует как загрузчик для распространения целого ряда троянских программ удаленного доступа (RAT) и похитителей информации.
Специалисты HP Threat Research окрестили новый неуловимый загрузчик «RATDispenser». Вредоносная программа отвечает за развертывание по меньшей мере восьми различных семейств вредоносных программ в 2021 году. Было обнаружено около 155 образцов RATDispenser, представленных тремя различными вариантами, что указывает на то, что вредонос находится в стадии активной разработки.
«RATDispenser используется для первоначального закрепления в системе перед внедрением вторичных вредоносных программ, которые устанавливают контроль над взломанным устройством» - сообщил исследователь безопасности Патрик Шлепфер. «Вторичные нагрузки - трояны, предназначенные для кражи информации и предоставления злоумышленникам контроля над устройствами жертвы».
Как и в других атаках подобного рода, отправной точкой заражения является фишинговое письмо, содержащее вредоносное вложение, которое маскируется под текстовый файл, но на самом деле представляет собой обфусцированный код JavaScript, запрограммированный на запись и выполнение файла VBScript, который, в свою очередь, загружает на зараженный компьютер полезную нагрузку вредоносной программы финальной стадии.
RATDispenser сбрасывал различные виды вредоносных программ, включая STRRAT, WSHRAT (он же Houdini или Hworm), AdWind (он же AlienSpy или Sockrat), Formbook (он же xLoader), Remcos (он же Socmer), Panda Stealer, CloudEyE (он же GuLoader) и Ratty, каждая из которых оснащена функциями для выкачивания конфиденциальных данных со взломанных устройств, а также нацелена на криптовалютные кошельки.
«Разнообразие семейств вредоносных программ, многие из которых можно приобрести или свободно загрузить с подпольных рынков, а также предпочтение операторов вредоносных программ по распространению, позволяют предположить, что авторы RATDispenser могут работать по бизнес-модели «вредоносное ПО как сервис» - заявил Шлепфер.
Источник: https://thehackernews.com