Новое вредоносное ПО на JavaScript используется для распространения RAT

Эксперты по безопасности из компании HP обнаружили новое вредоносное ПО на JavaScript, которое получило название RATDispenser. Малварь используется как дроппер: для заражения систем и последующего развертывания троянов удаленного доступа (RAT), пишет Хакер.

По данным специалистов, RATDispenser распространяется уже более трех месяцев через спамерские письма с вредоносными вложениями. Такие файлы используют классический трюк с двойным расширением (имяфайла.txt.js): выдают себя за текстовые файлы, но если их открыть, запускают код JavaScript.

Если пользователь запускает такой файл, малварь RATDispenser декодирует себя и запускает автономный VBScript, который затем устанавливает на зараженное устройство троян удаленного доступа. За последние три месяца малварь использовалась для распространения как минимум восьми различных RAT, включая STTRAT, WSHRAT, AdWind, Formbook, Remcos, Panda Stealer, GuLoader и Ratty.

«Разнообразие семейств вредоносных программ, многие из которых можно бесплатно приобрести или загрузить на подпольных торговых площадках, а также тот факт, что операторы малвари обычно предпочитают распространять собственные пейлоады, позволяют предположить, что авторы RATDispenser работают по схеме malware-as-a-service, — пишут исследователи. — Особенно нас беспокоит то, что RATDispenser обнаруживают только 11% антивирусных продуктов, и в итоге эта малварь, в большинстве случаев, успешно развертывается на машинах жертв».