Как сообщается в новом отчете специалистов компании HP, последние три месяца хакеры активно используют дроппер RATDispenser для доставки на атакуемые системы как минимум восьми разных троянов для удаленного доступа (RAT), таких как STTRAT, WSHRAT, AdWind, Formbook, Remcos, Panda Stealer, GuLoader и Ratty.
RATDispenser написан на JavaScript и распространяется через электронные письма с вредоносным вложением. Для того чтобы убедить жертву открыть его, злоумышленники используют известную уловку с двойным расширением (filename.txt.js), выдавая JavaScript-код за текстовый файл. После того, как жертва откроет вложение, RATDispenser расшифровывает себя и запускает в автономном файле VBScript, который затем устанавливает RAT.
«Разнообразие семейств вредоносных программ, многие из которых можно купить или бесплатно скачать на подпольных торговых площадках, и тот факт, что операторы вредоносного ПО отдают ему предпочтение для загрузки своих программ, свидетельствует о том, что авторы RATDispenser могут работать по бизнес-модели “вредоносное ПО как услуга”», – сообщил аналитик HP Wolf Security Патрик Шляпфер (Patrick Schläpfer). В общей сложности специалисты HP выявили порядка 155 образцов нового вредоноса. В настоящее время есть только три версии RATDispenser, а значит, он существует не более нескольких месяцев.
RATDispenser представляет собой дроппер – разновидность вредоносного ПО, используемого для установки на атакуемые системы других угроз. В отличие от загрузчиков дропперы содержат финальную полезную нагрузку в себе и не соединяются с C&C-серверами. Это делает их менее универсальными, но зато более незаметными.
Индикаторы компрометации представлены в отчете HP Wolf Security.