Исследование показало, что злоумышленники использовали ранее недокументированное вредоносное ПО JavaScript, которое служило загрузчиком для распространения ряда троянов удаленного доступа (RAT) и программ для кражи информации.
HP Threat Research называет этот новый загрузчик уклонения «RATDispenser», который отвечает за развертывание как минимум восьми различных семейств вредоносных программ в 2021 году. Было обнаружено около 155 образцов этого нового вредоносного ПО, распределенных по трем различным вариантам, что указывает на активную разработку этого вредоносного загрузчика.
«RATDispenser используется для первоначального закрепления в системе перед запуском вторичного вредоносного ПО, тем самым устанавливая управляющее соединение с целевым устройством». Исследователь безопасности Патрик Шлепфер сказал: «Все полезные нагрузки — это скрывающиеся крысы, предназначенные для кражи информации и позволяющие злоумышленнику взять под свой контроль устройства жертвы».
Как и в случае других подобных атак, отправной точкой заражения является фишинговое электронное письмо, содержащее вредоносное вложение, замаскированное под текстовый файл, но на самом деле представляющее собой запутанный код JavaScript, используемый для записи и выполнения файла VBScript, что, в свою очередь, является заключительным этапом вредоносная нагрузка загружается на зараженный компьютер.
Было замечено, что RATDispenser распространяет различные типы вредоносных программ, включая STRRAT, WSHRAT (также известный как Houdini или Hworm), AdWind (также известный как AlienSpy или Sockrat), Formbook (также известный как xLoader), Remcos (также известный как Socmer), Panda Stealer, CloudEyE (также известный как GuLoader), и Ratty, помимо атак на криптовалютные кошельки, устанавливают бэкдоры, которые извлекают конфиденциальные данные с зараженных устройств.
Шлепфер сказал: «Вредоносное ПО разнообразно, и многие вредоносные программы можно купить или загрузить бесплатно на подпольном рынке. Это также приводит к тому, что операторы вредоносных программ склонны отказываться от прямой продажи некоторых полезных нагрузок, поэтому автор RATDispenser может быть в теме вредоносных программ, поскольку Бизнес по оказанию услуг, работающий по модели».
[Ссылаться на]
https://thehackernews.com/2021/11/this-new-stealthy-javascript-loader.html
Оригинал статьи, автор: CNCSO, при перепечатке укажите источник: https://cncso.com/ru/research-finds-a-new-invisible-javascript-loader-uses-malicious-software-to-infect-computers .html
