研究发现攻击者使用了一种以前未记录的JavaScript恶意软件,该恶意软件作为加载程序分发一系列远程访问特洛伊木马(RAT)和信息窃取程序。
惠普威胁研究公司将这种新型的免杀加载器称为“RATDispenser”,该恶意软件负责在2021年部署至少8个不同的恶意软件系列。已经发现了大约155个这种新恶意软件的样本,分布在三个不同的变种中,这说明该恶意加载器正在被积极开发中。
“RATDispenser用于在启动二级恶意软件之前获得系统的初始立足点,从而建立对目标设备的控制连接。” 安全研究员 Patrick Schläpfer 说:“所有 payload 都是 潜藏在的老鼠,旨在窃取信息并让攻击者控制受害者设备。”
与其他此类攻击一样,感染的起点是包含恶意附件的网络钓鱼电子邮件,该附件伪装成文本文件,但实际上是经过混淆的 JavaScript 代码,用于编写和执行 VBScript 文件,反过来, 在受感染的机器上下载最后阶段的恶意软件负载。
已经观察到 RATDispenser 丢弃了不同类型的恶意软件,包括STRRAT、WSHRAT(又名 Houdini 或 Hworm)、AdWind(又名 AlienSpy 或 Sockrat)、Formbook(又名 xLoader)、Remcos(又名 Socmer)、Panda Stealer、CloudEyE(又名 GuLoader)、和Ratty,除了针对加密货币钱包之外,每个都安装了从受感染设备中提取敏感数据的后门。
Schläpfer 说:“恶意软件具有多样性,许多恶意软件可以从地下市场免费购买或下载,这也导致恶意软件运营商倾向于放弃直接售卖一些 payload,所以 RATDispenser 的作者可能是在恶意软件即服务的商业模式下运营的”。
[参考]
https://thehackernews.com/2021/11/this-new-stealthy-javascript-loader.html
原创文章,作者:CNCSO,如若转载,请注明出处:https://cncso.com/research-finds-a-new-invisible-javascript-loader-uses-malicious-software-to-infect-computers.html
