연구에 따르면 공격자는 일련의 RAT(원격 액세스 트로이 목마) 및 정보 도용 프로그램을 배포하기 위해 로더 역할을 하는 이전에 문서화되지 않은 JavaScript 악성 코드를 사용한 것으로 나타났습니다.
HP Threat Research는 이 새로운 회피 로더를 "RATDispenser"라고 부르며, 2021년에 최소 8개의 서로 다른 악성 코드군을 배포하는 역할을 합니다. 이 새로운 악성 코드의 약 155개 샘플이 발견되었으며, 이는 세 가지 변종으로 퍼져 있으며, 이는 이 악성 로더가 활발히 개발되고 있음을 나타냅니다.
"RATDispenser는 2차 악성 코드를 실행하기 전에 시스템에 대한 초기 기반을 확보하여 대상 장치에 대한 제어 연결을 설정하는 데 사용됩니다." 보안 연구원 Patrick Schläpfer는 "모든 페이로드는 정보를 훔치고 공격자가 제어할 수 있도록 설계된 숨어 있는 쥐입니다. 피해자 장치의."
다른 공격과 마찬가지로 감염의 시작점은 텍스트 파일로 위장했지만 실제로는 VBScript 파일을 작성하고 실행하는 데 사용되는 난독화된 JavaScript 코드인 악성 첨부 파일이 포함된 피싱 이메일입니다. 맬웨어 페이로드가 감염된 시스템에 다운로드됩니다.
RATDispenser는 STRRAT, WSHRAT(Houdini 또는 Hworm이라고도 함), AdWind(AlienSpy 또는 Sockrat라고도 함), Formbook(xLoader라고도 함), Remcos(Socmer라고도 함), Panda Stealer, CloudEyE(GuLoader라고도 함), Ratty와 Ratty는 암호화폐 지갑을 표적으로 삼는 것 외에도 감염된 장치에서 민감한 데이터를 추출하는 백도어를 설치합니다.
Schläpfer는 "악성 프로그램은 다양하며 지하 시장에서 많은 악성 코드를 구입하거나 무료로 다운로드할 수 있습니다. 이로 인해 악성 코드 운영자가 일부 페이로드 직접 판매를 포기하는 경향이 있으므로 RATDispenser의 작성자가 악성 코드에 속할 수 있습니다. -서비스 사업. 모델에 따라 운영됩니다."
[인용하다]
https://thehackernews.com/2021/11/this-new-stealthy-javascript-loader.html
CNCSO의 원본 기사, 재생산 시 출처를 명시해 주세요: https://cncso.com/kr/연구-결과-보이지-않는-새로운-자바스크립트-로더가