Nový malware RATDispenser se šíří se po e-mailech, většina antivirů ho nedetekuje

110
0
SDÍLET

Na internetu se objevil nový javascriptový downloader, který v sobě ukrývá jednu z osmi malwarových rodin obsahují remote access trojany, keyloggery a software pro krádeže informací. Momentálně je schopný ujít pozornosti většiny antivirových programů.

Nový malware dostal příhodný název RATDispenser, ve volném překladu krysí dávkovač, díky své schopnosti vyhýbat se bezpečnostním nástrojům lépe než běžný malware vytvořený v JavaScriptu. Podle analytiků z HP Wolf Security je RATDispenser zachycen pouze v 11 % případů. Představuje tak vysoké riziko zpřístupnění koncových zařízení útočníkům, vyzrazení citlivých údajů či vykradení kryptoměnových peněženek. Prostřednictvím zadních vrátek je pak zařízení zranitelné i vůči dodatečným útokům např. ransomwaru.

Jak k napadení dochází?

K infikování zařízení dochází při otevření škodlivé přílohy v e-mailu. Ta se maskuje jako normální textový soubor, nejčastěji jako objednávka, ale ve skutečnosti jde o soubor v JavaScriptu. Po otevření JavaScript vytvoří nový soubor VBScript, který okamžitě stáhne malwarový datový obsah, a následně se sám smaže.

Během posledních tří měsíců bylo zachyceno několik variant RATDispenseru. Nejčastěji se vyskytuje typ dropper. HP ho při analýze identifikovalo v 94 % vzorků. Ten v sobě nese veškerý datový obsah a nepotřebuje tak stahovat nic dalšího, díky tomu je mnohem hůř detekovatelný. Ve zbytku vzorků se objevila i varianta downloader, která do zařízení stáhne ještě sekundární malware. Mezi nejvíce detekované malwarové rodiny patří STRRAT and WSHRAT.

Jak se bránit?

Vzhledem k tomu, že tento druh malwaru jde v tuto chvíli jen velmi obtížně detekovat, tak by se uživatelé neměli spoléhat na své antivirové programy a měli by být obezřetní v případě, že obdrží jakýkoliv nevyžádaný e-mail. Před otevřením jakékoliv přílohy je nutní dbát na zvýšenou opatrnost a vždy si pečlivě zkontrolovat e-mailovou adresu odesílatele.

Zdroj: techradar.com

threatresearch.ext.hp.com