警告！フィッシングキャンペーンで配布された新しいRATおよびInfostealerマルウェア

HPのセキュリティ研究者は、新しい悪意のあるツール、つまりマルウェアを拡散して被害者のシステムから情報を盗むために使用されるツールのバンドルを追跡しています。

この新しいキャンペーンでの攻撃の最初のペイロードは、JavaScriptでコード化されたファイルダウンローダーであり、これを使用して、リモートアクセス型トロイの木馬とクレデンシャルおよび情報抽出ツールで構成されるさまざまなセカンダリペイロードを配布します。 HPの調査チームは、攻撃で使用される2次ペイロードの性質から、脅威をRATDispenserと呼んでいます。

研究者は、RATDispenserが最大8つの異なるマルウェアファミリーを配布するために使用されていることを発見しました。この多様性はまた、RATDispenser自体がサービスとしてのマルウェアスキームを使用して脅威の攻撃者にライセンスアウトされる可能性があるという規定につながりました。

JavaScriptダウンローダーでさえ被害者のシステムに導入される前は、感染チェーンの最初のステップは従来のフィッシングキャンペーンです。

被害者は、偽の「製品注文」メールを受け取ります。この電子メールには、悪意のある人物が偽の注文に関連する情報を含むテキストファイルであると主張しているものが含まれています。テキストファイルを開こうとすると、ダウンローダーのインストールが開始されます。自動防御を回避するために、初期ペイロードのJavaScriptコードはさらに難読化されています。

RATDispenserは、WSHRATやSTRRATなどの人気のあるリモートアクセストロイの木馬を配布およびダウンロードすることがわかっており、これら2つだけが観測されたペイロードの大部分を占めています。

さらに心配なのは、新しいマルウェアを使用したテストで使用されたマルウェア対策ツールのわずか11％がそれを検出できたことです。このレベルの回避は、セキュリティスイートがインストールされている場合でも、潜在的な被害者に多くの問題を引き起こす可能性があります。

リモートアクセス型トロイの木馬とキーロガーまたはインフォスティーラーマルウェアは、被害者のシステムに侵入した後、検出を回避するために最善を尽くすため、特に潜行性があります。破壊的なアクション、点滅する赤いランサムウェアの兆候、システムの安定性の損失はありません。これは、これらの悪意のあるツールを操作する悪意のある人物が、データ、パスワード、およびキーストロークを盗み出し、ホストシステムに非常に長い時間を費やす可能性があることを意味します。