ΑρχικήsecurityΝέο JavaScript malware μολύνει Windows PCs με RATs

Νέο JavaScript malware μολύνει Windows PCs με RATs

Ένας νέος loader JavaScript με το όνομα RATDispenser χρησιμοποιείται για να μολύνει συσκευές με μια ποικιλία από remote access trojans (RATs) σε επιθέσεις phishing.

Δείτε επίσης: Malware προσπαθεί να εκμεταλλευτεί το νέο Windows Installer zero-day

Ο νέος loader δημιούργησε γρήγορα συνεργασίες διανομής με τουλάχιστον οκτώ οικογένειες malware, όλες σχεδιασμένες για να κλέβουν πληροφορίες και να δίνουν στους χάκερ τον έλεγχο των στοχευμένων συσκευών.

Στο 94% των περιπτώσεων που αναλύθηκαν από την ομάδα HP Threat Research, το RATDispenser δεν επικοινωνεί με server ελεγχόμενο από χάκερ και χρησιμοποιείται αποκλειστικά ως dropper κακόβουλου λογισμικού πρώτου σταδίου.

Σε αντίθεση με την τάση χρήσης εγγράφων του Microsoft Office για το drop των payloads, αυτός ο loader χρησιμοποιεί συνημμένα JavaScript, τα οποία η HP διαπίστωσε ότι έχουν χαμηλά ποσοστά ανίχνευσης.

Η μόλυνση ξεκινά με ένα phishing email που περιέχει ένα κακόβουλο συνημμένο JavaScript που ονομάζεται με διπλή επέκταση “.TXT.js”. Καθώς τα Windows αποκρύπτουν τις επεκτάσεις από προεπιλογή, εάν ένας παραλήπτης αποθηκεύσει το αρχείο στον υπολογιστή του, θα εμφανιστεί ως ένα αβλαβές αρχείο κειμένου.

Δείτε επίσης: Οι χάκερ αναπτύσσουν Linux malware σε e-commerce servers

Αυτό το αρχείο κειμένου είναι πολύ obfuscated ώστε να παρακάμπτεται η ανίχνευση από security software και θα αποκωδικοποιηθεί όταν γίνει διπλό κλικ και εκκίνηση του αρχείου.

Μόλις εκκινηθεί, ο loader θα γράψει ένα αρχείο VBScript στο φάκελο %TEMP%, το οποίο στη συνέχεια εκτελείται για τη λήψη του malware (RAT) payload.

Αυτά τα επίπεδα obfuscation βοηθούν το malware να αποφύγει τον εντοπισμό κατά 89% των περιπτώσεων, με βάση τα αποτελέσματα σάρωσης VirusTotal.

Ωστόσο, τα email gateways θα εντοπίσουν τον loader εάν ο οργανισμός έχει ενεργοποιήσει τον αποκλεισμό εκτελέσιμων συνημμένων, όπως αρχεία .js, .exe, .bat, .com.

Ένας άλλος τρόπος για να σταματήσετε το ξεδίπλωμα της αλυσίδας μόλυνσης είναι να αλλάξετε τον προεπιλεγμένο χειριστή αρχείων για αρχεία JS, να επιτρέψετε την εκτέλεση μόνο ψηφιακά υπογεγραμμένων scripts ή να απενεργοποιήσετε το WSH (Windows Script Host).

Οι ερευνητές της HP τους τελευταίους τρεις μήνες κατάφεραν να ανακτήσουν οκτώ διαφορετικά malware payloads από το RATDispenser.

JavaScript

Δείτε επίσης: Alibaba ECS: Παραβιάστηκε ενεργά από cryptomining malware

Οι οικογένειες malware που εντοπίστηκαν είναι οι STRRAT, WSHRAT, AdWind, Formbook, Remcos, Panda Stealer, GuLoader και Ratty.

Σε 10 από τα 155 δείγματα που αναλύθηκαν, ο loader καθιέρωσε επικοινωνία C2 για την ανάκτηση malware δεύτερου σταδίου, οπότε αν και αυτό είναι σπάνιο, η λειτουργικότητα υπάρχει.

Στο 81% των περιπτώσεων malware drop, το RATDispenser διανέμει STRRAT και WSHRAT (γνωστό και ως “Houdini), δύο ισχυροί κλέφτες credential και keyloggers.

Το Panda Stealer και το Formbook είναι τα μόνα δύο payloads που λαμβάνονται πάντα αντί να απορρίπτονται.

Συνολικά, το RATDispenser φαίνεται να εξυπηρετεί τη διανομή τόσο παλιού όσο και νέου malware, χρησιμεύοντας ως ευέλικτο loader για τους απειλητικούς παράγοντες όλων των επιπέδων δεξιοτήτων.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS