Avertissement! Nouveaux logiciels malveillants RAT et Infostealer distribués dans une campagne d'hameçonnage
Les chercheurs en sécurité de HP ont suivi un nouvel outil malveillant, ou plutôt un ensemble d'outils utilisés pour diffuser des logiciels malveillants et voler des informations sur les systèmes victimes.
La charge utile initiale des attaques de cette nouvelle campagne est un téléchargeur de fichiers codé en JavaScript, qui à son tour est utilisé pour distribuer un certain nombre de charges utiles secondaires différentes composées de chevaux de Troie d'accès à distance, d'identifiants et d'outils d'exfiltration d'informations. L'équipe de recherche HP a appelé la menace RATDispenser , en raison de la nature des charges utiles secondaires utilisées dans les attaques.
Les chercheurs ont découvert que RATDispenser était utilisé pour distribuer jusqu'à huit familles de logiciels malveillants différentes. Cette variété a également conduit à la stipulation que RATDispenser lui-même peut être concédé sous licence à des acteurs malveillants utilisant un programme de malware en tant que service.
Avant même que le téléchargeur JavaScript ne soit introduit dans le système de la victime, la toute première étape de la chaîne d'infection est une campagne de phishing traditionnelle.
Les victimes reçoivent un faux e-mail de « commande de produit », contenant ce que les mauvais acteurs prétendent être un fichier texte contenant des informations relatives à la fausse commande. Essayer d'ouvrir le fichier texte démarre l'installation du téléchargeur. Le code JavaScript dans la charge utile initiale est encore plus obscurci, pour aider à esquiver les défenses automatisées.
Il a été découvert que le RATDispenser distribue et télécharge certains chevaux de Troie d'accès à distance populaires tels que WSHRAT et STRRAT , ces deux-là constituant la majorité des charges utiles observées.
Ce qui est encore plus inquiétant, c'est que seulement 11% des outils anti-malware utilisés dans les tests avec le nouveau malware ont réussi à le détecter. Ce niveau d'évasion peut causer beaucoup de problèmes aux victimes potentielles, même si elles ont installé une suite de sécurité.
Les chevaux de Troie d'accès à distance et les logiciels malveillants keylogger ou infostealer sont particulièrement insidieux car ils font de leur mieux pour éviter d'être détectés une fois qu'ils se sont frayés un chemin sur un système victime. Il n'y a aucune action destructrice, aucun signe de ransomware rouge clignotant, aucune perte de stabilité du système. Cela signifie que les mauvais acteurs qui exploitent ces outils malveillants peuvent potentiellement passer très longtemps sur un système hôte, exfiltrer des données, des mots de passe et des frappes.