最新的安全研究发现,黑客使用以前未记录在案的 JavaScript 恶意软件样本充当加载程序,以分发一系列远程访问木马 (RAT) 和信息窃取程序。
惠普威胁研究中心将新的JS加载程序称为 RATDispenser ,该恶意程序在2021年至少参与部署了8个不同的恶意软件系列,目前已发现的这个新型恶意程序大约155个样本,分布在3个不同的变体中,这表明该恶意程序还处于活跃状态。
根据网络安全行业门户极牛网GEEKNB.COM的梳理,RATDispenser 用于在启动二级恶意软件之前在系统上获得初始立足点,从而建立对受感染设备的控制,所有有效载荷都是 RAT,旨在窃取信息并让攻击者控制受害设备。
与其他此类攻击一样,感染的起点是包含恶意附件的网络钓鱼电子邮件,该附件伪装成文本文件,但实际上是经过混淆的 JavaScript 代码,用于编写和执行 VBScript 文件,反过来在受感染的机器上下载最后阶段的恶意软件负载。
已经观察到 RATDispenser 会投放不同类型的恶意软件,包括STRRAT、WSHRAT(又名 Houdini 或 Hworm)、AdWind(又名 AlienSpy 或 Sockrat)、Formbook(又名 xLoader)、Remcos(又名 Socmer)、Panda Stealer、CloudEyE(又名 GuLoader)、和Ratty,除了针对加密货币钱包之外,每个都配备了从受感染设备中提取敏感数据的设备。
极牛网精选文章《新型隐形JavaScript恶意程序加载器,用于大规模投放远程木马》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/17113.html