JavaScript-lader die RAT's afgeeft

Niet zo lang geleden rapporteerden onderzoekers van HP Threat Research Blog over nieuw ontdekte in het wild ontdekte RATDispenser. Deze ongrijpbare JavaScript-lader verspreidt informatie-stealers en Trojaanse paarden voor toegang op afstand (RAT). Het vermijdt met succes beveiligingscontroles terwijl het malware levert.

Deze RATs Dispenser kan werken als een malware-as-a-service bedrijfsmodel

De verscheidenheid aan malwarefamilies die deze RATs Dispenser verspreidt, doet vermoeden dat aanvallers hier het malware-as-a-service-bedrijfsmodel toepassen. Veel van de gedistribueerde malwarefamilies kunnen potentiële aanvallers gratis kopen of downloaden van ondergrondse marktplaatsen. En al die payloads waren RAT's waarmee aanvallers controle konden krijgen over slachtoffers’ apparaten en informatie stelen. In totaal, onderzoekers identificeerde acht malwarefamilies die door deze RATs Dispenser worden verspreid.

JavaScript-lader die RAT's afgeeft
Schadelijke bijlage in een e-mail

Gewoonlijk gebruiken aanvallers JavaScript malware om een ​​eerste voet aan de grond te krijgen op een systeem voordat het secundaire malware lanceert die controle over het gecompromitteerde apparaat geeft. In hun rapport bespraken onderzoekers de malwarefamilies die door deze specifieke RATs Dispenser worden verspreid. Ze analyseerden de infectieketen van RATs Dispenser en stelden een variant van detectiemogelijkheden voor om zijn werk te detecteren en te blokkeren. Daarnaast deelden onderzoekers een YARA-regel en een Python-extractiescript voor netwerkverdedigers om deze malware te kunnen detecteren en analyseren.

Het team analyseerde de 155 malware-voorbeelden

Van alle 155 malware-voorbeeld met behulp van hun script dat ze hebben gevonden:

  • Alle payloads werden geïdentificeerd als Trojaanse paarden voor externe toegang (RAT), informatie stelers en keyloggers;
  • 145 van de 155 monsters (94%) bleken droppers te zijn. enkel en alleen 10 monsters waren downloaders, wat betekent dat er vervolgens communicatie via het netwerk zal zijn om een ​​secundaire fase van malware te downloaden;
  • 8 payloads van malwarefamilies.
  • De infectieketen begint met een e-mail met: kwaadaardige bijlage. U kunt bijvoorbeeld een brief over een bestelling ontvangen om te controleren wat de bestelling inhoudt als de gebruiker erop klikt. En dat is wanneer de uitvoering van een bestand begint. Het onderzoeksteam adviseert netwerkverdedigers om uitvoerbare bestandstypen van e-mailbijlagen te blokkeren met een VBScript of JavaScript, Bijvoorbeeld. De uitvoering van malware kan worden onderbroken door Windows Script Host uit te schakelen (WSH) of het wijzigen van de standaard bestandshandler voor JavaScript-bestanden en alleen toestaan ​​dat digitaal ondertekende scripts worden uitgevoerd.

    Onderzoekers hebben acht gedistribueerde malware geïdentificeerd

    Om te identificeren welke soorten malware deze RATs Dispenser verspreidt, schreven de onderzoekers een handtekening om de waarnemingen te volgen. Onder de verschillende malware die het leverde Formbook, informatie-stealer en een keylogger. Andere soorten inbegrepen Remcos,STRAT, WSHRAT, Panda Stealer, AdWind, GuLoader en Ratty. Van hen waren de meest waargenomen STRRAT en WSHRAT verantwoordelijk voor 81% van de geanalyseerde monsters. Daarentegen noemen de minst vaak waargenomen onderzoekers Ratty en GuLoader.

    Sommige malware RAT's Dispenser is alleen gedownload, zoals Formbook en Panda Stealer, terwijl andere meestal zijn verdwenen. Bovendien gaven onderzoekers een paar woorden over enkele van de gedistribueerde malware. Ze schreven dat STRRAT een Java RAT is met toegang op afstand, functies voor keylogging en het stelen van inloggegevens en specialisten hebben het medio 2020 voor het eerst gedetecteerd. WSHRAT, die ook wel de naam Houdini . draagt, is een VBS RAT die voor het eerst wordt gedetecteerd in 2013. Beide hebben typische RAT-mogelijkheden. Voor hen is Panda Stealer het meest interessant. Deze nieuwe malwarefamilie verscheen in april 2021 en richt zich op cryptocurrency-portefeuilles. GuLoader downloadt en voert verschillende RAT's uit en Ratty is een open-source RAT geschreven in Java.

    Aan het eind voegden de onderzoekers eraan toe dat hoewel JavaScript een minder gebruikelijk malwarebestandsformaat is dan Microsoft Office-archieven en -documenten, antivirussoftware detecteert het slecht. Ze analyseerden inderdaad het detectiepercentage en kregen de resultaten van: 11% door antivirus-engines, of acht motoren.

    Andrew Nail

    Cybersecurity-journalist uit Montreal, Canada. Heeft communicatiewetenschappen gestudeerd aan Université de Montreal. Ik wist niet zeker of een journalistieke baan is wat ik in mijn leven wil doen, maar in combinatie met technische wetenschappen, het is precies wat ik graag doe. Het is mijn taak om de meest actuele trends in de cyberbeveiligingswereld op te vangen en mensen te helpen omgaan met malware die ze op hun pc's hebben.

    Laat een antwoord achter

    Terug naar boven knop