Pesquisadores de segurança estão alertando sobre um novo carregador (loader) de JavaScript que está sendo usado para distribuir oito trojans de acesso remoto (RATs) em campanhas para o roubo de informações. Os pesquisadores, da equipe da HP Wolf, apelidaram a ferramenta de “RATDispenser” e alertam que atualmente ela tem uma taxa de detecção de apenas 11%.
“Tal como acontece com a maioria dos ataques que envolvem malware JavaScript, o RATDispenser é usado para obter uma posição inicial em um sistema antes de lançar o malware secundário que estabelece o controle sobre o dispositivo comprometido”, explicou o analista de malware da HP, Patrick Schläpfer, à Infosecurity. “Curiosamente, nossa investigação descobriu que o RATDispenser está sendo usado predominantemente como um conta-gotas em 94% das amostras analisadas, o que significa que o malware não se comunica pela rede para entregar a carga maliciosa.”
O RATDispenser chega como um anexo malicioso em um e-mail de phishing. Se o usuário clicar duas vezes, ele será executado, momento em que o JavaScript ofuscado se decodifica e grava um arquivo VBScript em uma pasta temporária usando cmd.exe. Em seguida, esse arquivo VBScript baixa a carga útil do malware e, se for bem-sucedido, se excluirá subsequentemente.
Veja isso
RAT associado ao Irã sonda infraestrutura crítica na Europa
Grupo APT-C-36 mira América do Sul com RATs
As oito famílias de malwares incluem: keylogger e info-stealer Formbook; Java RAT STRRAT, que possui recursos de acesso remoto, roubo de credenciais e keylogging; downloader GuLoader; e um Java RAT de código aberto conhecido como Ratty.
De acordo com Schläpfer, a carga útil mais interessante é o Panda Stealer. “Visto pela primeira vez em abril deste ano, esta é uma nova família de malware que visa carteiras de criptomoedas”, explicou ele. “As amostras do Panda Stealer que analisamos eram todas variantes sem arquivo que baixam cargas adicionais de um site de armazenamento de texto, paste.ee.”
O Panda Stealer e o Formbook são sempre baixados em vez de descartados, mas eles são a minoria em termos de cargas associadas ao RATDispenser. “A variedade de famílias de malware, muitas das quais podem ser adquiridas ou baixadas gratuitamente de mercados clandestinos, e a preferência dos operadores de malware em reduzir suas cargas, sugerem que os autores do RATDispenser podem estar operando em um negócio de malware como serviço modelo”, disse Schläpfer.