RATDispenser

Los actores de amenazas han utilizado un cargador de JavaScript llamado RATDispenser para entregar múltiples familias de malware. Para ser más específicos, los expertos han identificado ocho familias diferentes de troyanos de acceso remoto (RAT) que se entregaron a través de RATDispencer en 2021.

Los actores de amenazas utilizan RATDispencer para establecer un punto de apoyo inicial en los sistemas comprometidos. Luego, la amenaza lanza la carga útil de la siguiente etapa, con la tarea de establecer el control sobre el dispositivo y comenzar a desviar datos confidenciales del dispositivo. Entre las amenazas RAT observadas eliminadas por RATDispencer, STRRAT y Houdini (WSH RAT) asumieron la mayor parte, o alrededor del 81%. Estas amenazas de malware son capaces de asegurar el acceso remoto a los sistemas infectados, ejecutar rutinas de registro de teclas y recopilar credenciales.

Detalles del dispensador RAT

El vector de infección inicial implica la entrega de correos electrónicos atractivos con archivos adjuntos corruptos. A las víctimas se les puede presentar un correo electrónico que afirme contener información sobre un pedido. Para acceder a la información supuestamente importante, los usuarios se dirigen hacia el archivo adjunto, que es un archivo JavaScript disfrazado como un archivo de texto normal. Cuando la víctima hace doble clic en el archivo, se ejecuta el malware.

La primera acción del archivo JavaScript es decodificarse a sí mismo en tiempo de ejecución y crear un archivo VBScript en la carpeta% TEMP% usando cmd.exe. Posteriormente, se inicia el archivo VBScript recién generado para descargar la carga útil dañina. Después de completar su tarea, el archivo se elimina.

RATDispenser también presenta múltiples capas de ofuscación. Como resultado, la amenaza es particularmente difícil de detectar, lo que demuestra aún más su eficacia como gotero RAT. Se deben implementar contramedidas apropiadas para detener la cadena de ataque en las etapas más tempranas posibles.