Этот практически недетектируемый вирус представляет собой "тихую угрозу" для паролей
С начала пандемии количество успешных взломов выросло на 238%, а сейчас эксперты по кибербезопасности HP Wolf Security предупреждают о новейшем вредоносном ПО RATDispenser.
RATDispenser классифицируется как троян-загрузчик на JavaScript, который незаметно и бесшумно проникает в систему, а потом загружает и устанавливает различные следящие программы и клавиатурных шпионов.
Киберпреступники используют этот «вредонос» для распространения восьми троянских программ RAT (Remote Access Trojan) для удаленного доступа и программ для кражи информации, чтобы получить контроль над зараженными системами Windows с помощью бэкдора, а также украсть имена пользователей, пароли и другие конфиденциальные данные.
Загрузчик был подробно описан исследователями кибербезопасности HP Wolf Security, которые назвали его RATDispenser - диспенсером КРЫС.
Начальной точкой входа для атаки является фишинговое электронное письмо, отправленное жертве, которое содержит текстовый файл о якобы заказанном пользователем товаре. Открытие этого вредоносный файла запустит процесс установки «загрузчика-вредоноса» RATDispenser. Чтобы не быть обнаруженной антивирусными программами, инициация загрузки через JavaScript запутывается с помощью длинных строк кода, которые скрывают истинное намерение злоумышленников.
После установки RATDispenser используется для доставки на зараженную систему различных вредоносных программ, в том числе троянов, клавиатурных шпионов и похитителей информации, предназначенных для кражи конфиденциальных данных пользователя.
Наиболее часто, четыре из пяти проанализированных образцов, загрузчик устанавливал вредоносные программы типа STRRAT и WSHRAT, используемые для получения контроля удаленного доступа, сбора информации о системе и похищения данных из браузера. Но были распространены и другие формы вредоносного ПО через RATDispenser, в том числе инвазивные похитители информации, такие как Adwind, Formbook, Remcos, Panda Stealer, GuLoader и Ratty.
На момент публикации исследования RATDispender детектировался только одним из 10 доступных антивирусных движков.
"Особенно вызывает беспокойство, что RATDispenser обнаруживают только ~11 % антивирусных систем. В результате чего в большинстве случаев это скрытое вредоносное ПО успешно развертывается на клиентских устройствах жертв", - сказал Патрик Шлапфер, аналитик по вредоносным программам HP.
"RAT и клавиатурные шпионы представляют собой скрытую угрозу, помогая злоумышленникам получить бэкдор-доступ к зараженным компьютерам и украсть учетные данные из бизнес-аккаунтов или даже криптовалютных кошельков. Отсюда киберпреступники могут выкачивать конфиденциальные данные, расширять свой доступ, а в некоторых случаях продавать этот доступ группам вымогателей", - добавил он.
Чтобы защитить пользователей от атак RATDispenser и вредоносных программ, которые он выпускает, эксперты по кибербезопасности рекомендуют:
- ИТ-департаментам проводить информационные и обучающие мероприятия по кибербезопасности для конечных пользователей;
- Архитекторам систем безопасности внедрять многоуровневую систему безопасности с использованием микро-виртуальных машин, антивирусных продуктов на основе ИИ;
- Сетевым администраторам проверять, какие типы файлов вложений электронной почты разрешены их почтовым шлюзом, и блокировать исполняемые файлы, которые не нужны, такие как JavaScript или VBScript;
- Пользователям проявлять бдительность при получении писем или файлов от неизвестных отправителей.