RATDispenser: correos distribuyen malware a través de Javascript
Se está propagando phishing utilizando un nuevo cargador de JavaScript sigiloso llamado RATDispenser para infectar dispositivos con una variedad de troyanos de acceso remoto (RAT).
El nuevo cargador se apresuró a establecer asociaciones de distribución con al menos ocho familias de malware, todas diseñadas para robar información y dar a los actores control sobre los dispositivos de destino.
En el 94% de los casos analizados por el equipo de investigación de HP, RATDispenser no se comunica con un servidor controlado por un actor y se utiliza en la primera etapa únicamente como un lanzador de cualquier malware.
En contra de la tendencia de usar documentos de Microsoft Office, este cargador usa archivos adjuntos de JavaScript, que tienen tasas de detección muy bajas.
Cadena de infección
La infección comienza con un correo electrónico de phishing que contiene un archivo adjunto de JavaScript malicioso con una doble extensión '.TXT.js'. Como Windows oculta las extensiones de forma predeterminada, si un destinatario guarda el archivo en su computadora, aparecerá como un archivo de texto inofensivo.
Este archivo de texto está muy ofuscado para evitar la detección por parte del software de seguridad y se decodificará cuando se haga doble clic en el archivo y se inicie. Una vez iniciado, el cargador escribirá un archivo VBScript en la carpeta %TEMP%, que luego se ejecutará para descargar la carga útil del malware (RAT).
Estas capas de ofuscación ayudan al malware a evadir la detección el 89% de las veces, según los resultados del análisis de VirusTotal.
Sin embargo, las puertas de enlace de correo electrónico detectarán el cargador si la organización ha habilitado el bloqueo de archivos adjuntos ejecutables, como archivos .JS, .EXE, .BAT, .COM.
Otra forma de detener el desarrollo de la cadena de infección es cambiar el controlador de archivos predeterminado para archivos JS, permitir que solo se ejecuten scripts firmados digitalmente o deshabilitar WSH (Windows Script Host).
Eliminar el malware
Los investigadores de HP pudieron recuperar ocho cargas útiles de malware diferentes de RATDispenser en los últimos tres meses: STRRAT, WSHRAT, AdWind, Formbook, Remcos, Panda Stealer, GuLoader y Ratty.
En 10 de las 155 muestras analizadas, el cargador estableció comunicación C2 para buscar malware de segunda etapa, por lo que, si bien esto es poco común, la funcionalidad está ahí.
En general, RATDispenser parece adaptarse a la distribución de malware nuevo y antiguo, y actúa como un cargador versátil para los actores de amenazas de todos los niveles.
Fuente: BC
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!