Этот практически недетектируемый вирус представляет собой "тихую угрозу" для паролей

С начала пандемии количество успешных взломов выросло на 238%, а сейчас эксперты по кибербезопасности HP Wolf Security предупреждают о новейшем вредоносном ПО RATDispenser.

RATDispenser классифицируется как троян-загрузчик на JavaScript, который незаметно и бесшумно проникает в систему, а потом загружает и устанавливает различные следящие программы и клавиатурных шпионов.

Киберпреступники используют этот «вредонос» для распространения восьми троянских программ RAT (Remote Access Trojan) для удаленного доступа и программ для кражи информации, чтобы получить контроль над зараженными системами Windows с помощью бэкдора, а также украсть имена пользователей, пароли и другие конфиденциальные данные.

Загрузчик был подробно описан исследователями кибербезопасности HP Wolf Security, которые назвали его RATDispenser - диспенсером КРЫС.

Начальной точкой входа для атаки является фишинговое электронное письмо, отправленное жертве, которое содержит текстовый файл о якобы заказанном пользователем товаре. Открытие этого вредоносный файла запустит процесс установки «загрузчика-вредоноса» RATDispenser. Чтобы не быть обнаруженной антивирусными программами, инициация загрузки через JavaScript запутывается с помощью длинных строк кода, которые скрывают истинное намерение злоумышленников.

После установки RATDispenser используется для доставки на зараженную систему различных вредоносных программ, в том числе троянов, клавиатурных шпионов и похитителей информации, предназначенных для кражи конфиденциальных данных пользователя.

Наиболее часто, четыре из пяти проанализированных образцов, загрузчик устанавливал вредоносные программы типа STRRAT и WSHRAT, используемые для получения контроля удаленного доступа, сбора информации о системе и похищения данных из браузера. Но были распространены и другие формы вредоносного ПО через RATDispenser, в том числе инвазивные похитители информации, такие как Adwind, Formbook, Remcos, Panda Stealer, GuLoader и Ratty.

На момент публикации исследования RATDispender детектировался только одним из 10 доступных антивирусных движков.

"Особенно вызывает беспокойство, что RATDispenser обнаруживают только ~11 % антивирусных систем. В результате чего в большинстве случаев это скрытое вредоносное ПО успешно развертывается на клиентских устройствах жертв", - сказал Патрик Шлапфер, аналитик по вредоносным программам HP.

"RAT и клавиатурные шпионы представляют собой скрытую угрозу, помогая злоумышленникам получить бэкдор-доступ к зараженным компьютерам и украсть учетные данные из бизнес-аккаунтов или даже криптовалютных кошельков. Отсюда киберпреступники могут выкачивать конфиденциальные данные, расширять свой доступ, а в некоторых случаях продавать этот доступ группам вымогателей", - добавил он.

Чтобы защитить пользователей от атак RATDispenser и вредоносных программ, которые он выпускает, эксперты по кибербезопасности рекомендуют:

• ИТ-департаментам проводить информационные и обучающие мероприятия по кибербезопасности для конечных пользователей;
• Архитекторам систем безопасности внедрять многоуровневую систему безопасности с использованием микро-виртуальных машин, антивирусных продуктов на основе ИИ;
• Сетевым администраторам проверять, какие типы файлов вложений электронной почты разрешены их почтовым шлюзом, и блокировать исполняемые файлы, которые не нужны, такие как JavaScript или VBScript;
• Пользователям проявлять бдительность при получении писем или файлов от неизвестных отправителей.