Os cibercriminosos estão usando um novo downloader de JavaScript para distribuir oito tipos diferentes de malware Trojan de acesso remoto (RAT) e malware para roubo de informações, a fim de obter controle backdoor de sistemas Windows infectados, bem como roubar nomes de usuário, senhas e outros dados confidenciais.
O downloader foi detalhado por pesquisadores de segurança cibernética da HP Wolf Security, que o chamou de RATDispenser.
O ponto de entrada inicial para ataques é um e-mail de phishing que afirma conter um arquivo de texto sobre um pedido de produto. Clicar no arquivo malicioso executará o processo de instalação do malware RATDispenser. Para evitar a detecção, o download inicial do JavaScript é ofuscado com a ajuda de longas sequências de código para ajudar a ocultar a intenção maliciosa.
VEJO: Uma estratégia vencedora para a segurança cibernética (Relatório especial ZDNet)
Uma vez instalado, o RATDispenser é usado para distribuir uma variedade de malwares diferentes, incluindo cavalos de tróia, keyloggers e ladrões de informações, todos projetados para roubar dados confidenciais do usuário.
Os downloads de malware distribuídos com mais frequência são STRRAT e WSHRAT, que representam quatro em cada cinco das amostras analisadas. Mas outras formas de malware RATDispenser foram distribuídas, incluindo ladrões de informações invasivos, como Adwind, Formbook, Remcos, Panda Stealer, GuLoader e Ratty.
Alguns desses trojans, como o Panda Stealer, são relativamente novos, tendo sido descobertos apenas este ano, enquanto outros, como o WSHRAT, estão ativos há muitos anos.
No momento em que a pesquisa foi publicada, o RATDispender só foi detectado por um em cada dez mecanismos antivírus disponíveis.
“É particularmente preocupante ver o RATDispenser sendo detectado apenas por cerca de 11% dos sistemas antivírus, resultando neste malware furtivo implantado com sucesso nos terminais das vítimas na maioria dos casos”, disse Patrick Schlapfer, analista de malware da HP.
“RATs e keyloggers representam uma ameaça silenciosa, ajudando os invasores a obter acesso backdoor a computadores infectados e roubar credenciais de contas comerciais ou até mesmo carteiras de criptomoedas. A partir daqui, os criminosos cibernéticos podem desviar dados confidenciais, escalonar seu acesso e, em alguns casos, vendê-los acesso a grupos de ransomware “, acrescentou.
Para proteger os usuários de ataques de RATDispenser e do malware que ele solta, os pesquisadores recomendam que os administradores de rede auditem quais tipos de arquivos de anexos de e-mail são permitidos por seu gateway de e-mail e bloqueiem executáveis que não são necessários – como JavaScript ou VBScript.
MAIS SOBRE SEGURANÇA CIBERNÉTICA
source – www.zdnet.com
