RATDispenserと名付けられた新しいステルス性のあるJavaScriptローダーが、フィッシング攻撃で様々なリモートアクセストロージャン(RAT)をデバイスに感染させるために使用されていることがわかりました。
この新しいローダーは、少なくとも8つのマルウェア・ファミリーとの配布パートナーシップを確立しており、攻撃者にターゲット・デバイスの制御権を与えることを目的としています。
HP Threat Researchチームが分析した94%のケースでは、RATDispenserは攻撃者が制御するサーバーとは通信せず、第一段階のマルウェアのドロッパーとしてのみ使用されています。
このローダーは、Microsoft Officeドキュメントを使ってペイロードを投下するというトレンドとは逆に、検出率が低いJavaScriptの添付ファイルを使用しています。
感染経路
感染は、「.TXT.js」という二重拡張子の付いた悪意のあるJavaScriptの添付ファイルを含むフィッシングメールから始まっています。Windowsはデフォルトで拡張子を隠すため、受信者がファイルをコンピュータに保存すると、無害なテキストファイルとして表示されます。
このテキストファイルは、セキュリティソフトウェアによる検出を回避するために高度に難読化されており、ファイルをダブルクリックして起動すると解読されます。
起動すると、ローダーはVBScriptファイルを%TEMP%フォルダに書き込み、これが実行されてマルウェア(RAT)のペイロードがダウンロードされます。
これらの難読化により、VirusTotalのスキャン結果によるとマルウェアは89%の確率で検出を回避しています。
JavaScriptは、Microsoft Office文書やアーカイブよりも一般的ではないマルウェアのファイル形式ですが、多くの場合、より検出されにくくなっています。RATDispenserの155個のサンプルのうち、77個がVirusTotalに掲載されており、その検出率を分析することができました
各サンプルの最も古いスキャン結果を使用すると、平均してRATDispenserのサンプルは、利用可能なアンチウイルスエンジンの11%、つまり絶対数で8つのエンジンでのみ検出されました。
しかし、メールゲートウェイは、企業が.js、.exe、.bat、.comファイルなどの実行可能な添付ファイルのブロックを有効にしていれば、ローダーを検出することができます。
また、JSファイルのデフォルトのファイルハンドラーを変更したり、デジタル署名されたスクリプトのみの実行を許可したり、WSH(Windows Script Host)を無効にしたりすることで、感染の連鎖を防ぐこともできます。
マルウェアの投下
HPの研究者は、過去3ヶ月間にRATDispenserから8種類のマルウェアのペイロードを取得することができました。
識別されたマルウェアファミリーは、STRRAT、WSHRAT、AdWind、Formbook、Remcos、Panda Stealer、GuLoader、Rattyです。
分析した155のサンプルのうち10のサンプルでは、ローダーがC2通信を確立して第2段階のマルウェアを取得しており、これは稀なケースですが、機能は存在します。
マルウェアのドロップケースの81%において、RATDispenserは強力なクレデンシャルスティールとキーロガーであるSTRRATとWSHRAT(通称「Houdini」)を配布しています。
「Panda Stealer」と「Formbook」は、ドロップではなく常にダウンロードされる唯一のペイロードです。
全体的に見て、RATDispenserは新旧両方のマルウェアの配布に対応しており、あらゆるスキルレベルの脅威アクターにとって汎用性の高いローダーとして機能しているようです。
Comments