Die Untersuchung ergab, dass die Angreifer eine bisher nicht dokumentierte JavaScript-Malware verwendeten, die eine Reihe von Remote-Access-Trojanern (RATs) und Programmen zum Diebstahl von Informationen als Loader verteilte.
HP Threat Research hat diesen neuen killerfreien Loader "RATDispenser" getauft, und die Malware ist für die Verbreitung von mindestens acht verschiedenen Malware-Familien im Jahr 2021 verantwortlich. Es wurden etwa 155 Proben dieser neuen Malware entdeckt, die sich auf drei verschiedene Varianten verteilen, was darauf hindeutet, dass der bösartige Loader aktiv entwickelt wird.
"RATDispenser wird verwendet, um zunächst im System Fuß zu fassen, bevor die sekundäre Malware gestartet wird, die dann eine Kontrollverbindung zum Zielgerät herstellt. Sicherheitsforscher Patrick Schläpfer sagte: "Alle Nutzlasten sind Ratten, die darauf ausgelegt sind, Informationen zu stehlen und es Angreifern zu ermöglichen, die Kontrolle über das Opfergerät zu übernehmen.
Wie bei anderen Angriffen dieser Art beginnt die Infektion mit einer Phishing-E-Mail, die einen bösartigen Anhang enthält, der sich als Textdatei tarnt, in Wirklichkeit aber verschleierter JavaScript-Code ist, der zum Schreiben und Ausführen einer VBScript-Datei verwendet wird, die wiederum die letzte Stufe der Malware-Ladung auf den infizierten Computer herunterlädt.
RATDispenser wurde dabei beobachtet, wie er verschiedene Arten von Malware abwirft, darunter STRRAT, WSHRAT (auch bekannt als Houdini oder Hworm), AdWind (auch bekannt als AlienSpy oder Sockrat), Formbook (auch bekannt als xLoader), Remcos (auch bekannt als Socmer), Panda Stealer, CloudEyE (auch bekannt als GuLoader) und Ratty. Jeder dieser Schädlinge installiert Hintertüren, durch die sensible Daten von infizierten Geräten extrahiert werden, und zielt zudem auf Kryptowährungs-Geldbörsen ab.
Die Vielfalt der Malware, von der ein Großteil auf dem Untergrundmarkt gekauft oder kostenlos heruntergeladen werden kann, hat auch dazu geführt, dass die Malware-Betreiber auf den direkten Verkauf einiger Nutzlasten verzichten, so dass es möglich ist, dass die Autoren von RATDispenser nach einem Malware-as-a-Service-Geschäftsmodell arbeiten", so Schläpfer ".
[Hinweis]
https://thehackernews.com/2021/11/this-new-stealthy-javascript-loader.html
Originalartikel von CNCSO, bei Vervielfältigung bitte die Quelle angeben: https://cncso.com/de/research-finds-a-new-invisible-javascript-loader-uses-malicious-software-to-infect- computer.html
