Tecnología

El nuevo y sigiloso malware de JavaScript infecta los PC con Windows con RAT

Software malicioso

Se está utilizando un nuevo cargador de JavaScript sigiloso llamado RATDispenser para infectar dispositivos con una variedad de troyanos de acceso remoto (RAT) en ataques de phishing.

El nuevo cargador se apresuró a establecer asociaciones de distribución con al menos ocho familias de malware, todas diseñadas para robar información y dar a los actores control sobre los dispositivos de destino.

En el 94% de los casos analizados por el equipo de investigación de amenazas de HP, RATDispenser no se comunica con un servidor controlado por un actor y se utiliza únicamente como un lanzador de malware de primera etapa.

En contra de la tendencia de usar documentos de Microsoft Office para eliminar cargas útiles, este cargador usa archivos adjuntos de JavaScript, que HP encontró que tienen tasas de detección bajas.

Cadena de infección

La infección comienza con un correo electrónico de phishing que contiene un archivo adjunto de JavaScript malicioso llamado con una doble extensión ‘.TXT.js’. Como Windows oculta las extensiones de forma predeterminada, si un destinatario guarda el archivo en su ordenador, aparecerá como un archivo de texto inofensivo.

Correo electrónico de phishing con archivo adjunto JS
Correo electrónico de phishing con archivo adjunto JS
Fuente: HP

Este archivo de texto está muy ofuscado para evitar la detección del software de seguridad y se decodificará cuando se haga doble clic en el archivo y se inicie.

Una vez iniciado, el cargador escribirá un archivo VBScript en la carpeta% TEMP%, que luego se ejecutará para descargar la carga útil del malware (RAT).

Argumentos de línea de comandos desofuscados
Argumentos de línea de comandos desofuscados
Fuente: HP

Estas capas de ofuscación ayudan al malware a evadir la detección el 89% de las veces, según los resultados del análisis de Virus Total.

«Aunque JavaScript es un formato de archivo de malware menos común que los documentos y archivos de Microsoft Office, en muchos casos se detecta peor. De nuestro conjunto de 155 muestras de RATDispenser, 77 estaban disponibles en VirusTotal, lo que nos permitió analizar sus tasas de detección», explicó. el informe por HP.

«Utilizando el resultado de escaneo más temprano de cada muestra, en promedio, las muestras de RATDispenser solo fueron detectadas por el 11% de los motores antivirus disponibles, u ocho motores en números absolutos».

Sin embargo, las puertas de enlace de correo electrónico detectarán el cargador si la organización ha habilitado el bloqueo de archivos adjuntos ejecutables, como archivos .js, .exe, .bat, .com.

Otra forma de detener el desarrollo de la cadena de infección es cambiar el controlador de archivos predeterminado para archivos JS, permitir que solo se ejecuten scripts firmados digitalmente o deshabilitar WSH (Windows Script Host).

Eliminando malware

Los investigadores de HP pudieron recuperar ocho cargas útiles de malware diferentes de RATDispenser en los últimos tres meses.

Las familias de malware identificadas son STRRAT, WSHRAT, AdWind, Formbook, Remcos, Panda Stealer, GuLoader y Ratty.

En 10 de las 155 muestras analizadas, el cargador estableció comunicación C2 para buscar malware de segunda etapa, por lo que, si bien esto es poco común, la funcionalidad está ahí.

Proceso de carga de malware de RATDispenser
Proceso de carga de malware de RATDispenser
Fuente: HP

En el 81% de los casos de caída de malware, RATDispenser distribuye STRRAT y WSHRAT (también conocido como «Houdini), dos poderosos ladrones de credenciales y registradores de pulsaciones de teclas.

Panda Stealer y Formbook son las únicas dos cargas útiles que siempre se descargan en lugar de soltar.

En general, RATDispenser parece adaptarse a la distribución de malware nuevo y antiguo, y actúa como un cargador versátil para los actores de amenazas de todos los niveles.

Leave a Comment

You may also like

Más