【安全资讯】RATDispenser加载程序分发多种恶意软件

安恒威胁情报中心 2021-11-24 11:31:23 177人浏览

引言

RATDispenser 是一个新型JavaScript恶意软件加载程序,通过发送给用户的网络钓鱼电子邮件传播。RATDispenser分发八种不同的远程访问木马 (RAT)、键盘记录器和信息窃取程序,还能够绕过大多数安全工具的检测。

 

 

简况

感染链始于用户收到的电子邮件,其中的附件伪装成包含有关订单信息的文本文件,这实际上是一个 JavaScript 文件。用户只需双击该文件即可运行恶意软件。恶意软件运行时,JavaScript 会自行解码,并使用 cmd.exe 将 VBScript 文件写入 %TEMP% 文件夹。随后运行VBScript文件,进而下载恶意软件负载。下载成功则删除 VBScript 文件。

 

 

RATDispenser分发了八个恶意软件家族,包括Formbook、STRRAT、WSHRAT、AdWind、Remcos、Panda Stealer、GuLoader和Ratty。RATDispenser 变体及其分发的恶意软件如下图:

 

研究人员在过去三个月中确定了155个RATDispenser样本,包括三个变体。155 个样本中有 145 个(94%)是dropper。只有 10 个样本是通过网络通信以下载恶意软件第二阶段的下载器。上述的8 个恶意软件家族作为有效负载交付,所有有效载荷都是远程访问木马 (RAT)、键盘记录器和信息窃取程序。RATDispenser 分发的恶意软件家族的统计数据如下图:

总结

尽管 JavaScript 是一种并不常见的恶意软件文件格式,但在多数情况下,它的检测率很低。RATDispenser传播的恶意软件家族的多样性表明, 该软件的开发者可能在“恶意软件即服务”的商业模式下运营。

 

 

 

 

 

 

 

 

 

 

失陷指标(IOC)159
RATDispenser Formbook STRRAT WSHRAT AdWind 其他
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。