新型隐形JavaScript恶意程序加载器，用于大规模投放远程木马

最新的安全研究发现，黑客使用以前未记录在案的 JavaScript 恶意软件样本充当加载程序，以分发一系列远程访问木马 (RAT) 和信息窃取程序。

惠普威胁研究中心将新的JS加载程序称为 RATDispenser ，该恶意程序在2021年至少参与部署了8个不同的恶意软件系列，目前已发现的这个新型恶意程序大约155个样本，分布在3个不同的变体中，这表明该恶意程序还处于活跃状态。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，RATDispenser 用于在启动二级恶意软件之前在系统上获得初始立足点，从而建立对受感染设备的控制，所有有效载荷都是 RAT，旨在窃取信息并让攻击者控制受害设备。

与其他此类攻击一样，感染的起点是包含恶意附件的网络钓鱼电子邮件，该附件伪装成文本文件，但实际上是经过混淆的 JavaScript 代码，用于编写和执行 VBScript 文件，反过来在受感染的机器上下载最后阶段的恶意软件负载。

已经观察到 RATDispenser 会投放不同类型的恶意软件，包括STRRAT、WSHRAT（又名 Houdini 或 Hworm）、AdWind（又名 AlienSpy 或 Sockrat）、Formbook（又名 xLoader）、Remcos（又名 Socmer）、Panda Stealer、CloudEyE（又名 GuLoader）、和Ratty，除了针对加密货币钱包之外，每个都配备了从受感染设备中提取敏感数据的设备。