Muitos pesquisadores de segurança cibernética perceberam que muitos cibercriminosos estão agora recebendo a ajuda de downloaders de JavaScript para espalhar oito tipos diferentes de malware de acesso remoto Trojan (RAT) para obter o controle de seus sistemas Windows e roubar vários dados confidenciais.
Os pesquisadores de segurança cibernética da HP Wolf Security chamaram esse trojan de “RATDispenser".
Os hackers usam um e-mail de phishing como ponto de acesso que contém arquivos de texto referentes a um pedido de produto. Depois que o usuário verificar esse arquivo, ele iniciará um processo automático que instala o malware RATDispenser. Os hackers adicionaram um longo conjunto de códigos ao JavaScript inicial para escondê-lo de ser detectado.
Uma vez instalado, o RATDispenser espalha vários tipos diferentes de trojans, malware, keyloggers e outros conteúdos maliciosos para tentar roubar suas informações confidenciais.
STRRAT e WSHRAT foram descobertos em quatro das cinco amostras, tornando-os o malware mais distribuído. Outros tipos de malware espalhados pelo RATDispenser incluem Ratty, GuLoader, Panda Stealer, Formbook e Adwind.
Embora o Panda Stealer tenha sido descoberto este ano, o WSHRAT está em operação há muitos anos. Além disso, quando esta pesquisa foi realizada e publicada, o RATDispenser foi detectado em um em cada 10 softwares antivírus.
Patrick Schlapfer, que trabalha como analista de malware na HP Wolf Security, disse o seguinte sobre o trojan descoberto:
É particularmente preocupante ver o RATDispenser sendo detectado apenas por cerca de 11% dos sistemas antivírus, resultando na implantação desse malware furtivo nos terminais das vítimas na maioria dos casos. RATs e keyloggers representam uma ameaça silenciosa, ajudando os invasores a obter acesso backdoor a computadores infectados e roubar credenciais de contas comerciais ou até carteiras de criptomoedas. A partir daqui, os cibercriminosos podem desviar dados confidenciais, aumentar seu acesso e, em alguns casos, vender esse acesso a grupos de ransomware.
Como precaução contra os ataques do RATDispenser, os pesquisadores recomendaram que os administradores de rede examinem o tipo de anexo de e-mail que seu gateway de e-mail está permitindo, o que é completamente desnecessário.