用於分發 RAT 的新 JavaScript 惡意軟件 RATDispenser
惠普安全專家 發現了 一種名為 RATDispenser 的新 JavaScript 惡意軟件. 惡意軟件被用作投放器: 感染系統,然後部署遠程訪問木馬 (鼠).
據專家介紹, RAT分配器 已經通過帶有惡意附件的垃圾郵件傳播了三個多月.
帶著 11% 檢測率, RATDispenser 在逃避安全控制和傳播惡意軟件方面似乎很有效. 總共, 我們發現了八個使用此惡意軟件分發的惡意軟件系列 2021. 所有的有效載荷都是 大鼠, 旨在竊取信息並讓攻擊者控制受害設備.惠普 專家寫.
這些文件使用經典的雙擴展技巧 (文件名.txt.js): 他們假裝是文本文件, 但是打開的時候, 他們運行 JavaScript 代碼.
如果用戶啟動這樣的文件, RATDispenser 惡意軟件自我解碼並啟動獨立的 VBScript, 然後在受感染的設備上安裝遠程訪問木馬. 過去三個月, 惡意軟件已被用於傳播至少八種不同的 RAT, 包含 斯特拉特, WSHRAT, 廣告, 表格, 遠程控制, 熊貓竊賊, 加載器 和 拉蒂.
其中最有趣的是熊貓竊賊. 這個新的惡意軟件家族, 首次出現在四月 2021, 以加密貨幣錢包為目標. 惠普研究人員分析的所有 Panda Stealer 樣本都是無文件變體,它們從 paste.ee 文本存儲站點下載額外的負載.
各種惡意軟件家族, 其中許多可以從地下市場免費購買或下載, 以及惡意軟件運營商通常更喜歡分發自己的有效載荷的事實, 建議 RATDispenser 的作者以惡意軟件即服務的方式運行. 我們特別關注的是,只有 11% 的防病毒產品檢測 RATDispenser, 結果, 這個惡意軟件, 在多數情況下, 已成功部署到受害機器.研究人員寫道.
總共, 惠普找到了關於 155 屬於三個不同版本的新惡意軟件樣本, 表明惡意軟件仍在開發中.
讓我提醒你,我們還談到了這樣一個事實 新的 博特納戈 殭屍網絡用途 33 針對物聯網設備的漏洞利用.
