Эксперты по безопасности из компании HP обнаружили новое вредоносное ПО на JavaScript, которое получило название RATDispenser. Малварь используется как дроппер: для заражения систем и последующего развертывания троянов удаленного доступа (RAT).
По данным специалистов, RATDispenser распространяется уже более трех месяцев через спамерские письма с вредоносными вложениями. Такие файлы используют классический трюк с двойным расширением (имяфайла.txt.js): выдают себя за текстовые файлы, но если их открыть, запускают код JavaScript.
Если пользователь запускает такой файл, малварь RATDispenser декодирует себя и запускает автономный VBScript, который затем устанавливает на зараженное устройство троян удаленного доступа. За последние три месяца малварь использовалась для распространения как минимум восьми различных RAT, включая STTRAT, WSHRAT, AdWind, Formbook, Remcos, Panda Stealer, GuLoader и Ratty.
«Разнообразие семейств вредоносных программ, многие из которых можно бесплатно приобрести или загрузить на подпольных торговых площадках, а также тот факт, что операторы малвари обычно предпочитают распространять собственные пейлоады, позволяют предположить, что авторы RATDispenser работают по схеме malware-as-a-service, — пишут исследователи. — Особенно нас беспокоит то, что RATDispenser обнаруживают только 11% антивирусных продуктов, и в итоге эта малварь, в большинстве случаев, успешно развертывается на машинах жертв».
В общей сложности HP обнаружила около 155 образцов новой малвари, относящиеся к трем разным версиям, что позволяет предположить, что малварь еще находится на этапе разработки.
