JavaScript Loader, der RATs ausgibt

Vor nicht allzu langer Zeit berichteten Forscher des HP Threat Research Blogs über neu in freier Wildbahn entdeckte RATDispenser. Dieser schwer fassbare JavaScript-Loader verbreitet Information-Stealer und Remote-Access-Trojaner (RATs). Es vermeidet erfolgreich Sicherheitskontrollen und liefert gleichzeitig Malware.

Dieser RATs Dispenser kann als Malware-as-a-Service-Geschäftsmodell betrieben werden

Die Vielfalt der Malware-Familien, die dieser RATs Dispenser vertreibt, lässt vermuten, dass Angreifer hier ein Malware-as-a-Service-Geschäftsmodell anwenden. Viele der verteilten Malware-Familien können potenzielle Angreifer kostenlos von unterirdischen Marktplätzen kaufen oder herunterladen. Und all diese Nutzlasten waren RATs, die es Angreifern ermöglichten, die Kontrolle über die Opfer zu erlangen’ Geräte und stehlen Informationen. Insgesamt, Forscher identifizierte acht Malware-Familien, die von diesem RATs Dispenser verbreitet wurden.

JavaScript Loader, der RATs ausgibt
Schädlicher Anhang in einer E-Mail

Normalerweise verwenden Angreifer JavaScript Malware um einen ersten Fuß auf einem System zu fassen, bevor es sekundäre Malware startet, die die Kontrolle über das kompromittierte Gerät einrichtet. In ihrem Bericht diskutierten die Forscher die Malware-Familien, die von diesem speziellen RATs Dispenser verbreitet werden. Sie analysierten die Infektionskette von RATs Dispenser und schlugen eine Variante von Erkennungsmöglichkeiten vor, um ihre Arbeit zu erkennen und zu blockieren. Darüber hinaus teilten die Forscher eine YARA-Regel und ein Python-Extraktionsskript für Netzwerkverteidiger, um diese Malware erkennen und analysieren zu können.

Das Team analysierte die 155 Malware-Beispiele

Von all den 155 Malware-Beispiel mit ihrem gefundenen Skript:

  • Alle Payloads wurden als Remote-Access-Trojaner identifiziert (RATs), Informationsdiebstahl und Keylogger;
  • 145 des 155 Proben (94%) stellte sich als Tropfer heraus. nur 10 Samples waren Downloader, was bedeutet, dass nachfolgend eine Kommunikation über das Netzwerk stattfindet, um eine sekundäre Stufe der Malware herunterzuladen;
  • 8 Nutzlasten von Malware-Familien.
  • Die Infektionskette beginnt mit einer E-Mail, die . enthält böswilliger Anhang. Zum Beispiel kann man einen Brief über eine Bestellung erhalten, nur um zu überprüfen, was die Bestellung bewirkt, wenn der Benutzer darauf klickt. Und dann beginnt die Ausführung einer Datei. Das Forschungsteam rät Netzwerkverteidigern, ausführbare Dateitypen für E-Mail-Anhänge mit einem VBScript oder JavaScript zu blockieren, Zum Beispiel. Die Unterbrechung der Malware-Ausführung kann durch Deaktivieren von Windows Script Host erfolgen (WSH) oder den Standarddateihandler für JavaScript-Dateien ändern und nur die Ausführung von digital signierten Skripten zulassen.

    Forscher identifizierten acht verteilte Malware

    Um festzustellen, welche Arten von Malware dieser RATs Dispenser verbreitet, haben die Forscher eine Signatur geschrieben, um seine Sichtungen zu verfolgen. Unter den verschiedenen Malware, die Formbook geliefert hat, Informationsdieb und ein Keylogger. Andere Typen enthalten Remcos,STRAT, WSHRAT, Pandadieb, Adwind, GuLoader und Ratty. Von ihnen waren die am häufigsten beobachteten STRRAT und WSHRAT, die für 81% der analysierten Proben. Im Gegensatz dazu nennen die am wenigsten beobachteten Forscher Ratty und GuLoader.

    Einige Malware-RATs Dispenser wurden nur heruntergeladen, wie Formbook und Panda Stealer, während andere meistens fallen gelassen wurden. Darüber hinaus gaben die Forscher ein paar Worte zu einigen der verbreiteten Malware. Sie schrieben, dass STRRAT eine Java-RAT mit Fernzugriff ist, Keylogging- und Credential-Stealing-Funktionen und Spezialisten haben es Mitte 2020 zum ersten Mal entdeckt. WSHRAT, die auch unter dem Namen Houdini . bekannt ist, wird eine VBS-RAT zuerst erkannt in 2013. Beide haben typische RAT-Fähigkeiten. Für sie ist Panda Stealer am interessantesten. Diese neue Malware-Familie erschien im April 2021 und zielt auf Kryptowährungs-Wallets. GuLoader lädt verschiedene RATs herunter und führt sie aus und Ratty ist eine in Java geschriebene Open-Source-RAT.

    Am Ende fügten die Forscher hinzu, dass JavaScript zwar ein weniger verbreitetes Malware-Dateiformat ist als Microsoft Office-Archive und -Dokumente, Antivirensoftware erkennt es schlecht. Tatsächlich analysierten sie die Erkennungsrate und erhielten die Ergebnisse von 11% durch Antivirus-Engines, oder acht Motoren.

    Über Andrew Nail

    Cybersicherheitsjournalist aus Montreal, Kanada. Studium der Kommunikationswissenschaften an der Universite de Montreal. Ich war mir nicht sicher, ob ein Journalistenjob das ist, was ich in meinem Leben machen möchte, aber in Verbindung mit technischen Wissenschaften, genau das mache ich gerne. Meine Aufgabe ist es, die aktuellsten Trends in der Welt der Cybersicherheit zu erfassen und Menschen dabei zu helfen, mit Malware umzugehen, die sie auf ihren PCs haben.

    überprüfen Sie auch

    Lass die Facebook Pixel Hunt beginnen

    Lass die Facebook Pixel Hunt beginnen

    Mozilla, ein Browser-Hersteller, kündigte kürzlich seine Zusammenarbeit mit einem gemeinnützigen Newsroom Markup an. Das Kollektiv …

    Fix für Microsoft Exchange 2022 Jahr Fehler

    Fix für Microsoft Exchange 2022 Jahr Fehler

    Microsoft hat einen Fix für den Exchange-Fehler veröffentlicht, der die E-Mail-Zustellung auf dem lokalen Microsoft-Standort störte …

    Hinterlasse eine Antwort