Des acteurs de la menace ont été trouvés en utilisant une souche de malware JavaScript non documentée qui fonctionne comme un chargeur pour distribuer un éventail de chevaux de Troie d’accès à distance (RAT) et de voleurs d’informations.
HP Threat Research a surnommé le nouveau chargeur évasif « RATDispenser », le logiciel malveillant étant responsable du déploiement d’au moins huit familles de logiciels malveillants différentes en 2021. Environ 155 échantillons de ce nouveau logiciel malveillant ont été découverts, répartis sur trois variantes différentes, laissant entendre qu’il est sous-actif. développement.
« RATDispenser est utilisé pour prendre pied sur un système avant de lancer un logiciel malveillant secondaire qui établit le contrôle sur l’appareil compromis », Patrick Schläpfer, chercheur en sécurité. mentionné. « Toutes les charges utiles étaient des RAT, conçues pour voler des informations et donner aux attaquants le contrôle des appareils des victimes. »
Comme pour d’autres attaques de ce type, le point de départ de l’infection est un e-mail de phishing contenant une pièce jointe malveillante, qui se fait passer pour un fichier texte, mais en réalité est un code JavaScript obscurci programmé pour écrire et exécuter un fichier VBScript, qui, à son tour , télécharge la charge utile du logiciel malveillant de dernière étape sur la machine infectée.
Il a été observé que RATDispenser a abandonné différents types de logiciels malveillants, notamment STRAT, WSHRAT (alias Houdini ou Hworm), AdWind (alias AlienSpy ou Sockrat), Formulaire (alias xLoader), Remcos (alias Socmer), Voleur de pandas, CloudEyE (alias GuLoader), et Miteux, dont chacun est équipé pour siphonner les données sensibles des appareils compromis, en plus de cibler les portefeuilles de crypto-monnaie.
« La variété des familles de logiciels malveillants, dont beaucoup peuvent être achetées ou téléchargées gratuitement sur des marchés souterrains, et la préférence des opérateurs de logiciels malveillants pour abandonner leurs charges utiles, suggèrent que les auteurs de RATDispenser peuvent fonctionner dans le cadre d’une entreprise de logiciels malveillants en tant que service. modèle », a déclaré Schläpfer.