Các tác nhân đe dọa đã được phát hiện bằng cách sử dụng một chủng phần mềm độc hại JavaScript không có tài liệu trước đây có chức năng như một bộ tải để phân phối một loạt các Trojan truy cập từ xa (RAT) và những kẻ đánh cắp thông tin.
HP Threat Research đặt tên cho bộ tải né tránh mới là “RATDispenser”, với phần mềm độc hại chịu trách nhiệm triển khai ít nhất tám họ phần mềm độc hại khác nhau vào năm 2021. Khoảng 155 mẫu phần mềm độc hại mới này đã được phát hiện, trải rộng trên ba biến thể khác nhau, ám chỉ rằng nó đang hoạt động sự phát triển.
Nhà nghiên cứu bảo mật Patrick Schläpfer cho biết: “RATDispenser được sử dụng để đạt được chỗ đứng ban đầu trên một hệ thống trước khi tung ra phần mềm độc hại thứ cấp thiết lập quyền kiểm soát đối với thiết bị bị xâm phạm. “Tất cả các trọng tải đều là RAT, được thiết kế để lấy cắp thông tin và cấp cho những kẻ tấn công quyền kiểm soát các thiết bị của nạn nhân.”
Giống như các cuộc tấn công khác thuộc loại này, điểm khởi đầu của sự lây nhiễm là một email lừa đảo có chứa tệp đính kèm độc hại, giả mạo dưới dạng tệp văn bản, nhưng trên thực tế, mã JavaScript bị xáo trộn được lập trình để viết và thực thi tệp VBScript. , tải xuống phần mềm độc hại ở giai đoạn cuối trên máy bị nhiễm.
RATDispenser đã được quan sát thấy đã loại bỏ các loại phần mềm độc hại khác nhau, bao gồm STRRAT, WSHRAT (hay còn gọi là Houdini hoặc Hworm), AdWind (còn gọi là AlienSpy hoặc Sockrat), Formbook (còn gọi là xLoader), Remcos (còn gọi là Socmer), Panda Stealer, CloudEyE (còn gọi là GuLoader), và Ratty, mỗi trong số đó đều được trang bị để hút dữ liệu nhạy cảm từ các thiết bị bị xâm nhập, ngoài việc nhắm mục tiêu vào các ví tiền điện tử.
“Sự đa dạng trong các họ phần mềm độc hại, nhiều trong số đó có thể được mua hoặc tải xuống miễn phí từ các thị trường ngầm và sở thích của các nhà khai thác phần mềm độc hại để giảm tải của họ, cho thấy rằng các tác giả của RATDispenser có thể đang hoạt động dưới hình thức kinh doanh phần mềm độc hại như một dịch vụ mô hình, “Schläpfer nói.
.