JavaScript Loader Dispenser RAT'er

For ikke længe siden rapporterede forskere fra HP Threat Research Blog om nyopdaget i den vilde RATDispenser. Denne undvigende JavaScript-indlæser distribuerer informationstyvere og trojanske heste med fjernadgang (RAT'er). Det undgår med succes sikkerhedskontrol, mens den leverer malware.

Denne RATs-dispenser kan fungere som en malware-as-a-service forretningsmodel

De mange forskellige malware-familier, som denne RATs Dispenser distribuerer, får en til at tro, at her anvender angribere malware-as-a-service forretningsmodel. Mange af de distribuerede malware-familier kan potentielle angribere købe eller downloade gratis fra underjordiske markedspladser. Og alle disse nyttelaster var RAT'er, der gjorde det muligt for angribere at få kontrol over ofrene’ enheder og stjæle information. I alt, forskere identificeret otte malware-familier distribueret af denne RATs-dispenser.

JavaScript Loader Dispenser RAT'er
Ondsindet vedhæftet fil i en e-mail

Normalt bruger angribere JavaScript Malware at få et indledende fodfæste på et system, før det lancerer sekundær malware, der sætter kontrol over den kompromitterede enhed. I deres rapport diskuterede forskere malware-familierne, der distribueres af denne særlige RATs-dispenser. De analyserede infektionskæden af ​​RATs Dispenser og foreslog en variant af detektionsmuligheder for at opdage og blokere dens arbejde. Derudover delte forskere en YARA-regel og et Python-ekstraktionsscript til netværksforsvarere for at kunne opdage og analysere denne malware.

Holdet analyserede 155 malware prøver

Af alle 155 malware-eksempel ved hjælp af deres script, de fandt:

  • Alle nyttelasterne blev identificeret som trojanske heste med fjernadgang (RAT'er), informationstyve og keyloggere;
  • 145 af 155 prøver (94%) viste sig at være dråber. kun 10 prøver var downloadere, hvilket betyder, at der efterfølgende vil være kommunikation over netværket for at downloade en sekundær fase af malware;
  • 8 malware-familiers nyttelast.
  • Infektionskæden begynder med en e-mail, der indeholder ondsindet vedhæftning. For eksempel kan man modtage et eller andet brev om en ordre bare for at tjekke, hvad ordren går på, brugeren klikker på den. Og det er, når udførelsen af ​​en fil begynder. Forskerholdet råder netværksforsvarere til at blokere eksekverbare e-mail-vedhæftede filtyper med et VBScript eller JavaScript, For eksempel. Afbrydelsen af ​​udførelse af malware kan udføres ved at deaktivere Windows Script Host (WSH) eller at ændre standardfilhåndteringen for JavaScript-filer og kun tillade digitalt signerede scripts at køre.

    Forskere identificerede otte distribueret malware

    For at identificere hvilke typer malware denne RATs Dispenser distribuerer skrev forskerne en signatur for at spore dens observationer. Blandt de forskellige malware, det leverede Formbook, informationstyver og en keylogger. Andre typer omfattede Remcos,STRRAT, WSHRAT, Panda Stealer, AdWind, GuLoader og Ratty. Blandt dem var de hyppigst observerede STRRAT og WSHRAT, der stod for 81% af de analyserede prøver. I modsætning hertil hedder de mindst hyppigt observerede forskere Ratty og GuLoader.

    Nogle malware RATs Dispenser downloadede kun som Formbook og Panda Stealer, mens andre for det meste faldt. Derudover gav forskere et par ord om nogle af de distribuerede malware. De skrev, at STRRAT er en Java RAT, der har fjernadgang, keylogging og legitimations stjæle funktioner og specialister opdagede det for første gang i midten af ​​2020. WSHRAT, som også går under navnet Houdini, er en VBS RAT først opdaget i 2013. Begge har typiske RAT-egenskaber. For dem er den mest interessante Panda Stealer. Denne nye malware-familie dukkede op i april 2021 og retter sig mod cryptocurrency-punge. GuLoader downloader og kører forskellige RAT'er, og Ratty er en open source RAT skrevet i Java.

    Til sidst tilføjede forskere, at selvom JavaScript er et mindre almindeligt malware-filformat end Microsoft Office-arkiver og -dokumenter, antivirussoftware opdager det dårligt. Faktisk analyserede de dets påvisningshastighed og fik resultaterne af 11% af antivirus-motorer, eller otte motorer.

    Andrew Nail

    Cybersikkerhedsjournalist fra Montreal, Canada. Studerede kommunikationsvidenskab på Universite de Montreal. Jeg var ikke sikker på, om et journalistjob er det, jeg vil gøre i mit liv, men i forbindelse med tekniske videnskaber, det er præcis, hvad jeg kan lide at gøre. Mit job er at fange de mest aktuelle trends i cybersikkerhedsverdenen og hjælpe folk med at håndtere malware, de har på deres pc'er.

    Efterlad et Svar

    Tilbage til toppen knap