Se ha encontrado que los actores de amenazas utilizan una cepa de malware JavaScript previamente indocumentada que funciona como un cargador para distribuir una variedad de troyanos de acceso remoto (RAT) y ladrones de información.
HP Threat Research denominó al nuevo cargador evasivo "RATDispenser", con el malware responsable de implementar al menos ocho familias de malware diferentes en 2021. Se han descubierto alrededor de 155 muestras de este nuevo malware, distribuidas en tres variantes diferentes, lo que sugiere que está activo desarrollo.
"RATDispenser se utiliza para obtener un punto de apoyo inicial en un sistema antes de lanzar el malware secundario que establece el control sobre el dispositivo comprometida", el investigador de seguridad Patrick Schläpfer dijo . "Todas las cargas útiles eran RAT, diseñadas para robar información y dar a los atacantes control sobre los dispositivos de las víctimas".
Al igual que con otros ataques de este tipo, el punto de partida de la infección es un correo electrónico de phishing que contiene un archivo adjunto malicioso, que se hace pasar por un archivo de texto, pero en realidad es un código JavaScript ofuscado programado para escribir y ejecutar un archivo VBScript, que a su vez , descarga la carga útil de malware de la etapa final en la máquina infectada.
Se ha observado que RATDispenser arroja diferentes tipos de malware, incluidos STRRAT , WSHRAT (también conocido como Houdini o Hworm), AdWind (también conocido como AlienSpy o Sockrat), Formbook (también conocido como xLoader), Remcos (también conocido como Socmer), Panda Stealer , CloudEyE (también conocido como GuLoader), y Ratty , cada uno de los cuales está equipado para desviar datos confidenciales de los dispositivos comprometidos, además de apuntar a carteras de criptomonedas.
"La variedad de familias de malware, muchas de las cuales se pueden comprar o descargar libremente de los mercados clandestinos, y la preferencia de los operadores de malware por eliminar sus cargas útiles, sugieren que los autores de RATDispenser pueden estar operando bajo un negocio de malware como servicio. modelo ", dijo Schläpfer.