調査の結果、攻撃者は一連のリモート アクセス トロイの木馬 (RAT) や情報窃取プログラムを配布するローダーとして機能する、これまで文書化されていない JavaScript マルウェアを使用していたことが判明しました。
HP Threat Research は、この新しい回避ローダーを「RATDispenser」と呼んでおり、2021 年に少なくとも 8 つの異なるマルウェア ファミリを展開する役割を果たしています。この新しいマルウェアのサンプルは約 155 個発見され、3 つの異なる亜種にまたがっています。これは、この悪意のあるローダーが活発に開発されていることを示しています。
「RATDispenserは、二次的なマルウェアを起動する前にシステム上で最初の足掛かりを得るために使用され、それによってターゲットデバイスへの制御接続を確立します。」セキュリティ研究者のパトリック・シュレプファー氏は、「すべてのペイロードは、情報を盗み、攻撃者が制御を奪うことを可能にするように設計された潜伏ネズミです」と述べています。被害者のデバイスの。」
他の同様の攻撃と同様、感染の開始点は、テキスト ファイルに見せかけた悪意のある添付ファイルを含むフィッシングメールですが、実際には、VBScript ファイルの作成と実行に使用される難読化された JavaScript コードであり、最終段階では、マルウェア ペイロードは感染したマシンにダウンロードされます。
RATDispenser は、STRRAT、WSHRAT (別名 Houdini または Hworm)、AdWind (別名 AlienSpy または Sockrat)、Formbook (別名 xLoader)、Remcos (別名 Socmer)、Panda Stealer、CloudEyE (別名 GuLoader) などのさまざまな種類のマルウェアを投下することが観察されています。 Ratty は、暗号通貨ウォレットをターゲットにすることに加えて、感染したデバイスから機密データを抽出するバックドアをインストールします。
シュレプファー氏は、「マルウェアは多様であり、多くのマルウェアはアンダーグラウンド市場から無料で購入またはダウンロードできます。これはまた、マルウェアオペレータが一部のペイロードの直接販売を断念する傾向につながるため、RATDispenserの作者がマルウェアに関与している可能性があります」と述べた。 -サービス事業。モデルに基づいて運営されています。」
[参照する]
https://thehackernews.com/2021/11/this-new-stealthy-javascript-loader.html
原文、著者:CNCSO、転載する場合は出典を明記してください:https://cncso.com/jp/research-finds-a-new-invisible-javascript-loader-uses-malicious-software-to-infect-computers .html
