Новое скрытое вредоносное ПО на JavaScript заражает ПК с Windows RAT

9
Электронная почта IKEA подверглась постоянной кибератаке

Новый скрытый загрузчик JavaScript под названием RATDispenser используется для заражения устройств различными троянами удаленного доступа (RAT) при фишинговых атаках.

Новый загрузчик быстро установил партнерские отношения по распространению, по крайней мере, с восемью семействами вредоносных программ, все из которых были разработаны для кражи информации и предоставления субъектам контроля над целевыми устройствами.

В 94% случаев, проанализированных командой HP Threat Research, RATDispenser не взаимодействует с сервером, контролируемым субъектом, и используется исключительно как средство удаления вредоносных программ на первом этапе.

Вопреки тенденции использования документов Microsoft Office для удаления полезной нагрузки, этот загрузчик использует вложения JavaScript, которые, как выяснила HP, имеют низкие показатели обнаружения.

Цепочка заражения

Заражение начинается с фишингового письма, содержащего вредоносное вложение JavaScript с двойным расширением .TXT.js. Поскольку Windows по умолчанию скрывает расширения, если получатель сохраняет файл на свой компьютер, он будет отображаться как безобидный текстовый файл.

Этот текстовый файл сильно запутан для обхода обнаружения программным обеспечением безопасности и будет декодирован при двойном щелчке и запуске файла.

После запуска загрузчик запишет файл VBScript в папку% TEMP%, который затем будет запущен для загрузки полезной нагрузки вредоносной программы (RAT).

Эти уровни обфускации помогают вредоносному ПО ускользать от обнаружения в 89% случаев, основываясь на результатах сканирования VirusTotal.

«Хотя JavaScript является менее распространенным форматом файлов вредоносных программ, чем документы и архивы Microsoft Office, во многих случаях он обнаруживается хуже. Из нашего набора из 155 образцов RATDispenser 77 были доступны на VirusTotal, что позволило нам проанализировать уровень их обнаружения», — пояснил отчет HP.

«Используя самый ранний результат сканирования каждого образца, в среднем образцы RATDispenser были обнаружены только 11% доступных антивирусных механизмов, или восемью механизмами в абсолютном количестве».

Однако шлюзы электронной почты обнаружат загрузчик, если в организации включена блокировка исполняемых вложений, таких как файлы .js, .exe, .bat, .com.

Другой способ остановить развертывание цепочки заражений — изменить обработчик файлов по умолчанию для файлов JS, разрешить запуск только сценариев с цифровой подписью или отключить WSH (Windows Script Host).

Удаление вредоносного ПО

Исследователи HP смогли получить восемь различных вредоносных программ из RATDispenser за последние три месяца.

Выявленные семейства вредоносных программ: STRRAT, WSHRAT, AdWind, Formbook, Remcos, Panda Stealer, GuLoader и Ratty.

В 10 из 155 проанализированных образцов загрузчик установил связь C2 для извлечения вредоносного ПО второго уровня, поэтому, хотя это бывает редко, функциональность есть.

В 81% случаев удаления вредоносных программ RATDispenser распространяет STRRAT и WSHRAT (также известные как Houdini), два мощных средства для кражи учетных данных и клавиатурных шпионов.

Panda Stealer и Formbook — единственные полезные данные, которые всегда загружаются, а не удаляются.

В целом RATDispenser, по-видимому, позволяет распространять как старые, так и новые вредоносные программы, выступая в качестве универсального загрузчика для злоумышленников любого уровня подготовки.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here