首页保安新的 JavaScript 恶意软件使用 RAT 感染 Windows PC

新的 JavaScript 恶意软件使用 RAT 感染 Windows PC

一种名为 RATDispenser 的新 JavaScript 加载程序用于在网络钓鱼攻击中感染具有各种远程访问木马 (RAT) 的设备。

另见: 恶意软件试图利用新的 Windows Installer 零日漏洞

新加载程序迅速与至少八个恶意软件系列建立了分发合作伙伴关系,所有这些都旨在窃取信息并让黑客控制目标设备。

在 HP 威胁研究团队分析的 94% 的案例中,RATDispenser 不与黑客控制的服务器通信,并且专门用作一级恶意软件投放器。

与使用 Microsoft Office 文档删除有效负载的趋势相反,此加载程序使用 JavaScript 附件,HP 发现这些附件的抓取率较低。

感染始于包含名为“.TXT.js”的恶意 JavaScript 附件的网络钓鱼电子邮件。 由于 Windows 默认隐藏扩展名,如果收件人将文件保存到他们的计算机,它将显示为无害的文本文件。

另见: 黑客在电子商务服务器上传播 Linux 恶意软件

此文本文件过于模糊,无法绕过安全软件的抓取,并且会在双击并启动该文件时被解码。

启动后,加载程序会将 VBScript 文件写入 %TEMP% 文件夹,然后运行该文件以下载恶意软件 (RAT) 负载。

根据 VirusTotal 扫描结果,这些级别的混淆有助于防止在 89% 的情况下检测到恶意软件。

但是,如果组织启用了对可执行附件(例如 .js、.exe、.bat、.com 文件)的阻止,电子邮件网关将检测加载程序。

阻止感染链展开的另一种方法是更改​​ JS 文件的默认文件管理器,仅允许运行数字签名的脚本,或禁用 WSH(Windows 脚本主机)。

在过去三个月中,惠普研究人员从 RATDispenser 中恢复了八种不同的恶意软件负载。

JavaScript的

另见: 阿里巴巴 ECS:被挖矿恶意软件主动侵犯

检测到的恶意软件家族包括 STRRAT、WSHRAT、AdWind、Formbook、Remcos、Panda Stealer、GuLoader 和 Ratty。

在分析的 10 个样本中的 155 个中,加载程序引入了 C2 通信来恢复第二阶段恶意软件,因此尽管这种情况很少见,但功能还是存在的。

在 81% 的恶意软件丢弃案例中,RATDispenser 分发 STRRAT 和 WSHRAT(也称为 Houdini),这两个强大的凭据窃贼和键盘记录器。

Panda Stealer 和 Formbook 是仅有的两个总是被接收而不是被拒绝的负载。

总体而言,RATDispenser 似乎为新旧恶意软件的分发提供服务,充当各种技能级别的威胁代理的灵活加载器。

信息来源:bleepingcomputer.com

spot_img

实时新闻