研究發現攻擊者使用了一種先前未記錄的JavaScript惡意軟體,該惡意軟體作為載入程式分發一系列遠端存取特洛伊木馬(RAT)和資訊竊取程式。
惠普威脅研究公司將這種新型的免殺載入器稱為“RATDispenser”,該惡意軟體負責在2021年部署至少8個不同的惡意軟體系列。已經發現了大約155個這種新惡意軟體的樣本,分佈在三個不同的變種中,這說明該惡意載入器正在被積極開發中。
「RATDispenser 用於在啟動二級惡意軟體之前獲得系統的初始立足點,從而建立對目標設備的控制連接。」安全研究員 Patrick Schläpfer 說:「所有payload 都是潛藏在的老鼠,旨在竊取資訊並讓攻擊者控制受害者設備。”
與其他此類攻擊一樣,感染的起點是包含惡意附件的網路釣魚電子郵件,該附件偽裝成文字文件,但實際上是經過混淆的JavaScript 程式碼,用於編寫和執行VBScript 文件,反過來, 在受感染的機器上下載最後階段的惡意軟體負載。
已經觀察到RATDispenser 丟棄了不同類型的惡意軟體,包括STRRAT、WSHRAT(又名Houdini 或Hworm)、AdWind(又名AlienSpy 或Sockrat)、Formbook(又名xLoader)、Remcos(又名Socmer)、Panda Stealer、 CloudEyE(又稱GuLoader)、和Ratty,除了針對加密貨幣錢包之外,每個都安裝了從受感染設備中提取敏感資料的後門。
Schläpfer 說:「惡意軟體具有多樣性,許多惡意軟體可以從地下市場免費購買或下載,這也導致惡意軟體業者傾向於放棄直接出售一些payload,所以RATDispenser 的作者可能是在惡意軟體即服務的商業模式下運作的」。
[參考]
https://thehackernews.com/2021/11/this-new-stealthy-javascript-loader.html
原文文章,作者:CNCSO,如若轉載,請註明出處:https://cncso.com/tw/research-finds-a-new-invisible-javascript-loader-uses-malicious-software-to-infect-computers .html
