RATDispenser

RATDispenserという名前のJavaScriptローダーは、複数のマルウェアファミリーを配信するために脅威アクターによって使用されています。具体的には、専門家は2021年にRATDispencerを介して配信されたリモートアクセストロイの木馬（RAT）の8つの異なるファミリを特定しました。

攻撃者はRATDispencerを使用して、侵害されたシステムの最初の足掛かりを確立します。次に、脅威は次の段階のペイロードを起動し、デバイスの制御を確立し、デバイスから機密データを吸い上げ始めます。 RATDispencerによってドロップされた観察されたRAT脅威の中で、最大の部分、つまり約81％は、 STRRATとHoudini （WSH RAT）によって占められました。これらのマルウェアの脅威は、感染したシステムへのリモートアクセスを保護し、キーロガールーチンを実行し、資格情報を収集することができます。

RATDispenserの詳細

最初の感染ベクトルには、破損した添付ファイルを含むルアーメールの配信が含まれます。被害者には、注文に関する情報が含まれていると主張する電子メールが表示される場合があります。おそらく重要な情報にアクセスするために、ユーザーは添付ファイルに誘導されます。これは、通常のテキストファイルを装ったJavaScriptファイルです。被害者がファイルをダブルクリックすると、マルウェアが実行されます。

JavaScriptファイルの最初のアクションは、実行時にそれ自体をデコードし、cmd.exeを使用して％TEMP％フォルダーにVBScriptファイルを作成することです。その後、新しく生成されたVBScriptファイルが開始され、有害なペイロードがダウンロードされます。タスクの完了後、ファイルは削除されます。

RATDispenserは、複数の難読化レイヤーも備えています。その結果、脅威の検出は特に困難であり、RATドロッパーとしての有効性がさらに証明されています。攻撃チェーンを可能な限り早い段階で停止するには、適切な対策を講じる必要があります。