¡Advertencia! Nuevo Malware RAT e Infostealer Distribuido en una Campaña de Phishing
Los investigadores de seguridad de HP han estado rastreando una nueva herramienta maliciosa, o más bien un conjunto de herramientas utilizadas para difundir malware y robar información de los sistemas de las víctimas.
La carga útil inicial de los ataques en esta nueva campaña es un descargador de archivos codificado en JavaScript, que a su vez se utiliza para distribuir una serie de cargas útiles secundarias diferentes compuestas por troyanos de acceso remoto y credenciales y herramientas de exfiltración de información. El equipo de investigación de HP ha llamado a la amenaza RATDispenser , debido a la naturaleza de las cargas útiles secundarias utilizadas en los ataques.
Los investigadores encontraron que RATDispenser se utilizó para distribuir hasta ocho familias de malware diferentes. Esta variedad también llevó a la estipulación de que el propio RATDispenser puede otorgarse a los actores de amenazas mediante un esquema de malware como servicio.
Antes incluso de que se introduzca el descargador de JavaScript en el sistema de la víctima, el primer paso de la cadena de infección es una campaña de phishing tradicional.
Las víctimas reciben un correo electrónico de "pedido de producto" falso, que contiene lo que los malos actores afirman es un archivo de texto con información relacionada con el pedido falso. Al intentar abrir el archivo de texto, se inicia la instalación del descargador. El código JavaScript en la carga útil inicial se ofusca aún más, para ayudar a esquivar las defensas automatizadas.
Se ha descubierto que RATDispenser distribuye y descarga algunos troyanos de acceso remoto populares como WSHRAT y STRRAT , y solo esos dos constituyen la mayoría de las cargas útiles observadas.
Lo que es aún más preocupante es que solo el 11% de las herramientas anti-malware utilizadas en las pruebas con el nuevo malware lograron detectarlo. Este nivel de evasión puede significar muchos problemas para las víctimas potenciales, incluso si tienen una suite de seguridad instalada.
Los troyanos de acceso remoto y el malware keylogger o infostealer son particularmente insidiosos porque hacen todo lo posible para evitar la detección una vez que se abren camino en el sistema de la víctima. No hay ninguna acción destructiva, ningún signo de ransomware rojo parpadeante, no hay pérdida de estabilidad del sistema. Esto significa que los delincuentes que operan esas herramientas maliciosas pueden potencialmente pasar mucho tiempo en un sistema host, filtrando datos, contraseñas y pulsaciones de teclas.