RATDispenser

Ein JavaScript-Loader namens RATDispenser wurde von Bedrohungsakteuren verwendet, um mehrere Malware-Familien bereitzustellen. Genauer gesagt haben die Experten acht verschiedene Familien von Remote Access Trojanern (RATs) identifiziert, die 2021 über RATDispencer ausgeliefert wurden.

Die Bedrohungsakteure verwenden RATDispencer, um erste Schritte auf den kompromittierten Systemen zu machen. Dann startet die Bedrohung die Payload der nächsten Stufe, die damit beauftragt ist, die Kontrolle über das Gerät zu erlangen und sensible Daten vom Gerät abzusaugen. Von den beobachteten RAT-Bedrohungen, die von RATDispencer abgeworfen wurden, wurde der größte Teil (rund 81 %) von STRRAT und Houdini (WSH RAT) übernommen. Diese Malware-Bedrohungen sind in der Lage, den Fernzugriff auf die infizierten Systeme zu sichern, Keylogging-Routinen auszuführen und Anmeldeinformationen zu sammeln.

RATDispenser-Details

Der anfängliche Infektionsvektor beinhaltet die Zustellung von Lock-E-Mails mit beschädigten Anhängen. Opfern kann eine E-Mail vorgelegt werden, in der behauptet wird, Informationen zu einer Bestellung zu enthalten. Um auf die vermeintlich wichtigen Informationen zuzugreifen, werden die Benutzer auf den Anhang geleitet, bei dem es sich um eine als normale Textdatei getarnte JavaScript-Datei handelt. Wenn das Opfer auf die Datei doppelklickt, wird die Malware ausgeführt.

Die erste Aktion der JavaScript-Datei besteht darin, sich zur Laufzeit selbst zu decodieren und mit cmd.exe eine VBScript-Datei im Ordner %TEMP% zu erstellen. Danach wird die neu generierte VBScript-Datei initiiert, um die schädliche Nutzlast herunterzuladen. Nach Abschluss ihrer Aufgabe wird die Datei gelöscht.

RATDispenser bietet auch mehrere Verschleierungsschichten. Infolgedessen ist die Bedrohung besonders schwer zu erkennen, was ihre Wirksamkeit als RAT-Dropper weiter unter Beweis stellt. Um die Angriffskette so früh wie möglich zu stoppen, müssen geeignete Gegenmaßnahmen ergriffen werden.