RATDispenser

Description de RATDispenser

Un chargeur JavaScript nommé RATDispenser a été utilisé par les acteurs de la menace pour fournir plusieurs familles de logiciels malveillants. Pour être plus précis, les experts ont identifié huit familles différentes de chevaux de Troie d'accès à distance (RAT) qui ont été livrées via RATDispenser en 2021.

Les acteurs de la menace utilisent RATDispenser pour établir un premier point d'ancrage sur les systèmes compromis. Ensuite, la menace lance la charge utile de l'étape suivante, chargée d'établir le contrôle sur l'appareil et de commencer à siphonner les données sensibles de l'appareil. Parmi les menaces RAT observées abandonnées par RATDispencer, la plus grande partie, soit environ 81%, a été reprise par STRRAT et Houdini (WSH RAT). Ces menaces de logiciels malveillants sont capables de sécuriser l'accès à distance aux systèmes infectés, d'exécuter des routines d'enregistrement de frappe et de collecter des informations d'identification.

Détails du distributeur RAT

Le vecteur d'infection initial consiste à envoyer des e-mails leurres contenant des pièces jointes corrompues. Les victimes peuvent recevoir un e-mail prétendant contenir des informations sur une commande. Pour accéder aux informations supposées importantes, les utilisateurs sont dirigés vers la pièce jointe, qui est un fichier JavaScript déguisé en un fichier texte normal. Lorsque la victime double-clique sur le fichier, le malware est exécuté.

La première action du fichier JavaScript est de se décoder au moment de l'exécution et de créer un fichier VBScript dans le dossier %TEMP% à l'aide de cmd.exe. Ensuite, le fichier VBScript nouvellement généré est lancé pour télécharger la charge utile nuisible. Après avoir terminé sa tâche, le fichier est supprimé.

RATDispenser comporte également plusieurs couches d'obscurcissement. En conséquence, la menace est particulièrement difficile à détecter, ce qui prouve encore son efficacité en tant que compte-gouttes RAT. Des contre-mesures appropriées doivent être mises en œuvre pour arrêter la chaîne d'attaque le plus tôt possible.