用于分发 RAT 的新 JavaScript 恶意软件 RATDispenser
惠普安全专家 发现了 一种名为 RATDispenser 的新 JavaScript 恶意软件. 恶意软件被用作投放器: 感染系统,然后部署远程访问木马 (鼠).
据专家介绍, RAT分配器 已经通过带有恶意附件的垃圾邮件传播了三个多月.
带着 11% 检测率, RATDispenser 在逃避安全控制和传播恶意软件方面似乎很有效. 总共, 我们发现了八个使用此恶意软件分发的恶意软件系列 2021. 所有的有效载荷都是 大鼠, 旨在窃取信息并让攻击者控制受害设备.惠普 专家写.
这些文件使用经典的双扩展技巧 (文件名.txt.js): 他们假装是文本文件, 但是打开的时候, 他们运行 JavaScript 代码.
如果用户启动这样的文件, RATDispenser 恶意软件自我解码并启动独立的 VBScript, 然后在受感染的设备上安装远程访问木马. 过去三个月, 恶意软件已被用于传播至少八种不同的 RAT, 包含 斯特拉特, WSHRAT, 广告, 表格, 远程控制, 熊猫窃贼, 加载器 和 拉蒂.
其中最有趣的是熊猫窃贼. 这个新的恶意软件家族, 首次出现在四月 2021, 以加密货币钱包为目标. 惠普研究人员分析的所有 Panda Stealer 样本都是无文件变体,它们从 paste.ee 文本存储站点下载额外的负载.
各种恶意软件家族, 其中许多可以从地下市场免费购买或下载, 以及恶意软件运营商通常更喜欢分发自己的有效载荷的事实, 建议 RATDispenser 的作者以恶意软件即服务的方式运行. 我们特别关注的是,只有 11% 的防病毒产品检测 RATDispenser, 结果, 这个恶意软件, 在大多数情况下, 已成功部署到受害机器.研究人员写道.
总共, 惠普找到了关于 155 属于三个不同版本的新恶意软件样本, 表明恶意软件仍在开发中.
让我提醒你,我们还谈到了这样一个事实 新的 博特纳戈 僵尸网络用途 33 针对物联网设备的漏洞利用.
