RATDispenser adlı yeni bir gizli JavaScript yükleyicisi, kimlik avı saldırılarında cihazlara çeşitli uzaktan erişim truva atları (RAT’ ler) bulaştırmak için kullanılıyor.
Yeni yükleyici, hepsi bilgi çalmak ve oyunculara hedef cihazlar üzerinde kontrol sağlamak için tasarlanmış en az sekiz kötü amaçlı yazılım ailesiyle dağıtım ortaklıkları kurmakta gecikmedi.
HP Tehdit Araştırma ekibi tarafından analiz edilen vakaların %94’ında RATDispenser aktör kontrolündeki bir sunucuyla iletişim kurmaz ve yalnızca birinci aşama kötü amaçlı yazılım damlalık olarak kullanılır.
Yükleri bırakmak için Microsoft Office belgelerini kullanma eğilimine aykırı olan bu yükleyici, HP’nin düşük algılama oranlarına sahip olduğunu tespit ettiği JavaScript eklerini kullanır.
Enfeksiyon zinciri
Bulaşma, ‘ile adlandırılmış kötü amaçlı bir JavaScript eki içeren bir kimlik avı e-postasıyla başlar. TXT.js’ın çift uzatması. Gibi Windows uzantıları varsayılan olarak gizler, alıcı dosyayı bilgisayarına kaydederse, zararsız bir metin dosyası olarak görünür.
Bu metin dosyası, güvenlik yazılımı tarafından algılamayı atlamak için yoğun bir şekilde karartılır ve dosya çift tıklatıldığında ve başlatıldığında kodu çözülür.
Başlatıldıktan sonra, yükleyici %TEMP% klasörüne bir VBScript dosyası yazar ve daha sonra kötü amaçlı yazılım (RAT) yükünü indirmek için yürütülür.
Bu gizleme katmanları, VirusTotal tarama sonuçlarına dayanarak kötü amaçlı yazılımın algılamadan %89 oranında kaçmasına yardımcı olur.
“JavaScript, Microsoft Office belgelerinden ve arşivlerinden daha az yaygın bir kötü amaçlı yazılım dosya biçimi olmasına rağmen, çoğu durumda daha kötü algılanır. 155 RATDispenser numunesi setimizden, VirusTotal’da tespit oranlarını analiz etmemizi sağlayan 77 adet mevcuttu,” diye açıkladı. rapor HP tarafından.
“Her numunenin en erken tarama sonucu kullanılarak, ratdispenser örnekleri mevcut anti-virüs motorlarının sadece% 11’i veya mutlak sayılarda sekiz motor tarafından tespit edildi.”
Ancak, kuruluş .js, .exe, .bat, .com dosyaları gibi yürütülebilir eklerin engellenmesini etkinleştirdiyse, e-posta ağ geçitleri yükleyiciyi algılar.
Bulaşma zincirinin ortaya çıkmasını durdurmanın başka bir yolu da JS dosyaları için varsayılan dosya işleyicisini değiştirmek, yalnızca dijital olarak imzalanmış komut dosyalarının çalışmasına izin vermek veya WSH’yi (Windows Komut Dosyası Sistemi) devre dışı bırakmaktır.
Kötü amaçlı yazılımları bırakma
HP’nin araştırmacıları son üç ay içinde RATDispenser’dan sekiz farklı kötü amaçlı yazılım yükü almayı başardı.
Tanımlanan kötü amaçlı yazılım aileleri STRRAT, WSHRAT, AdWind, Formbook, Remcos, Panda Stealer, GuLoader ve Ratty’dir.
Analiz edilen 155 örnekten 10’unda, yükleyici ikinci aşama kötü amaçlı yazılımları getirmek için C2 iletişimi kurdu, bu yüzden bu nadir olsa da işlevsellik orada.
Kötü amaçlı yazılım bırakma vakalarının% 81’inde RATDispenser, iki güçlü kimlik bilgisi hırsızı ve keylogger olan STRRAT ve WSHRAT’ı (diğer adıyla “Houdini) dağıtır.
Panda Stealer ve Formbook, düşmek yerine her zaman indirilen tek iki yük.
Genel olarak, RATDispenser, tüm beceri seviyelerindeki tehdit aktörleri için çok yönlü bir yükleyici olarak hizmet veren hem eski hem de yeni kötü amaçlı yazılımların dağıtımını barındırıyor gibi görünmektedir.