For ikke længe siden rapporterede forskere fra HP Threat Research Blog om nyopdaget i den vilde RATDispenser. Denne undvigende JavaScript-indlæser distribuerer informationstyvere og trojanske heste med fjernadgang (RAT'er). Det undgår med succes sikkerhedskontrol, mens den leverer malware.
Denne RATs-dispenser kan fungere som en malware-as-a-service forretningsmodel
De mange forskellige malware-familier, som denne RATs Dispenser distribuerer, får en til at tro, at her anvender angribere malware-as-a-service forretningsmodel. Mange af de distribuerede malware-familier kan potentielle angribere købe eller downloade gratis fra underjordiske markedspladser. Og alle disse nyttelaster var RAT'er, der gjorde det muligt for angribere at få kontrol over ofrene’ enheder og stjæle information. I alt, forskere identificeret otte malware-familier distribueret af denne RATs-dispenser.
Normalt bruger angribere JavaScript Malware at få et indledende fodfæste på et system, før det lancerer sekundær malware, der sætter kontrol over den kompromitterede enhed. I deres rapport diskuterede forskere malware-familierne, der distribueres af denne særlige RATs-dispenser. De analyserede infektionskæden af RATs Dispenser og foreslog en variant af detektionsmuligheder for at opdage og blokere dens arbejde. Derudover delte forskere en YARA-regel og et Python-ekstraktionsscript til netværksforsvarere for at kunne opdage og analysere denne malware.
Holdet analyserede 155 malware prøver
Af alle 155 malware-eksempel ved hjælp af deres script, de fandt:
Infektionskæden begynder med en e-mail, der indeholder ondsindet vedhæftning. For eksempel kan man modtage et eller andet brev om en ordre bare for at tjekke, hvad ordren går på, brugeren klikker på den. Og det er, når udførelsen af en fil begynder. Forskerholdet råder netværksforsvarere til at blokere eksekverbare e-mail-vedhæftede filtyper med et VBScript eller JavaScript, For eksempel. Afbrydelsen af udførelse af malware kan udføres ved at deaktivere Windows Script Host (WSH) eller at ændre standardfilhåndteringen for JavaScript-filer og kun tillade digitalt signerede scripts at køre.
Forskere identificerede otte distribueret malware
For at identificere hvilke typer malware denne RATs Dispenser distribuerer skrev forskerne en signatur for at spore dens observationer. Blandt de forskellige malware, det leverede Formbook, informationstyver og en keylogger. Andre typer omfattede Remcos,STRRAT, WSHRAT, Panda Stealer, AdWind, GuLoader og Ratty. Blandt dem var de hyppigst observerede STRRAT og WSHRAT, der stod for 81% af de analyserede prøver. I modsætning hertil hedder de mindst hyppigt observerede forskere Ratty og GuLoader.
Nogle malware RATs Dispenser downloadede kun som Formbook og Panda Stealer, mens andre for det meste faldt. Derudover gav forskere et par ord om nogle af de distribuerede malware. De skrev, at STRRAT er en Java RAT, der har fjernadgang, keylogging og legitimations stjæle funktioner og specialister opdagede det for første gang i midten af 2020. WSHRAT, som også går under navnet Houdini, er en VBS RAT først opdaget i 2013. Begge har typiske RAT-egenskaber. For dem er den mest interessante Panda Stealer. Denne nye malware-familie dukkede op i april 2021 og retter sig mod cryptocurrency-punge. GuLoader downloader og kører forskellige RAT'er, og Ratty er en open source RAT skrevet i Java.
Til sidst tilføjede forskere, at selvom JavaScript er et mindre almindeligt malware-filformat end Microsoft Office-arkiver og -dokumenter, antivirussoftware opdager det dårligt. Faktisk analyserede de dets påvisningshastighed og fik resultaterne af 11% af antivirus-motorer, eller otte motorer.