Нещодавно в блозі HP Threat Research Blog був опублікований звіт про відкриття нового активного RATDispenser. Цей завантажувач JavaScript розповсюджує троянські програми віддаленого доступу (RAT). Він успішно уникає контролю безпеки під час вивантаження шкідливого програмного забезпечення.
Факт різноманітності сімейств шкідливих програм, які поширює цей RATs Dispenser, приводить до думки, що тут застосована бізнес-модель зловмисного програмного забезпечення як послуги. Багато з поширюваних сімейств шкідливих програм потенційні зловмисники можуть придбати або завантажити безкоштовно з підпільних ринків. І всі ці програми були RAT, які дозволяють зловмисникам отримувати контроль над пристроями жертв і викрадати інформацію. Загалом дослідники виявили вісім сімейств шкідливих програм, які розповсюджуються цим RATs Dispenser.
JavaScript і його робота
Зазвичай зловмисники використовують шкідливе програмне забезпечення JavaScript, щоб закріпитися в системі, перш ніж запустити другий склад зловмисного програмного забезпечення, яке встановлює контроль над зламаним пристроєм. У своїй доповіді дослідники в незначних деталях згадали шкідливі програми, які розповсюджує цей конкретний RATs Dispenser. Вони проаналізували ланцюжок зараження RATs Dispenser і запропонували варіант виявлення та блокування його роботи. Крім того, дослідники поділилися правилом YARA та скриптом вилучення Python для спеціалістів з захисту мережей, які мають дати можливість виявити та ззаналізувати це шкідливе програмне забезпечення.
З усіх 155 зразків шкідливого програмного забезпечення за допомогогою скрипту YARA вони знайшли наступне:
- Серед поширюваних шкідливих програм були ідентифіковані трояни віддаленого доступу (RAT), крадії інформації та кілоггери;
- Щодо методу зараження то 145 із 155 зразків (94%) виявилися дроперами. Лише 10 зразків були завантажувачами, які встановлюють подальший зв’язок через мережу для завантаження другого складу шкідливого програмного забезпечення;
- Загалом було класифіковано 8 сімейств шкідливих програм.
Як уникнути зараження завантажувачем?
Ланцюжок зараження починається з електронного листа, який містить шкідливе вкладення. Наприклад, хтось отримує лист нібито з інформацією про замовлення, і щоб просто перевірити, що саме за замовлення, користувач натискає на нього. І саме тоді починається виконання файлу. Тут дослідницька група радить спеціалістам з захисту виконувати блокування вкладених файлів електронної пошти, які містять VBScript або JavaScript. Переривання виконання зловмисного програмного забезпечення можна зробити, вимкнувши Windows Script Host (WSH) або змінивши функцію розпізнавання файлів за замовчуванням для файлів JavaScript і встановити виконання криптів з цифровим підписом.
Щоб визначити, які типи шкідливого програмного забезпечення розповсюджує цей RATs Dispenser, дослідники написали спеціальну сигнатуру для його відстеження. Серед різноманітних шкідливих програм він поширює Formbook, викрадач інформації та кілоггер. Інші типи включають Remcos, STRRAT, WSHRAT, Panda Stealer, AdWind, GuLoader і Ratty. З них найчастіше спостерігалися STRRAT і WSHRAT, які були знайдені у 81% проаналізованих зразків. Найрідше спостерігалися Ratty і GuLoader.
Поширювані JavaScript шкідливі програми
Деяких зловмисних програм RATs Dispenser виконував лише завантаження, як-от Formbook і Panda Stealer, тоді як інші здебільшого скидалися. Дослідники також виокремили одні з поширюваних шкідливих програм. STRRAT — це Java RAT, який має функції віддаленого доступу, кілогер та викрадач облікових даних, якого фахівці вперше виявили ще в середині 2020 року. WSHRAT, який також носить назву Houdini, є VBS RAT, вперше виявлений у 2013 році. Обидва мають типовий функціонал RAT. Для них найцікавішим здається Panda Stealer. Це нове сімейство шкідливих програм з’явилося в квітні 2021 року і націлено на криптовалютні гаманці. GuLoader завантажує та запускає різні RAT, а Ratty — це RAT з відкритим вихідним кодом, написаний на Java.
Наприкінці дослідники додали, що, хоча JavaScript є менш поширеним форматом файлів шкідливих програм, ніж архіви та документи Microsoft Office, антивірусне програмне забезпечення погано розпізнає його. Вони проаналізували швидкість виявлення такого формату і отримали результат в 11% детекції.
