Un nouveau chargeur JavaScript furtif nommé RATDispenser est utilisé pour infecter les appareils avec une variété de chevaux de Troie d’accès à distance (RAT) lors d’attaques de phishing.
Le nouveau chargeur a rapidement établi des partenariats de distribution avec au moins huit familles de logiciels malveillants, tous conçus pour voler des informations et donner aux acteurs le contrôle des appareils cibles.
Dans 94% des cas analysés par l’équipe HP Threat Research, RATDispenser ne communique pas avec un serveur contrôlé par un acteur et est uniquement utilisé comme compte-gouttes de malware de première étape.
À contre-courant de la tendance à utiliser des documents Microsoft Office pour supprimer des charges utiles, ce chargeur utilise des pièces jointes JavaScript, dont HP a constaté un faible taux de détection.
Chaîne d’infection
L’infection commence par un e-mail de phishing contenant une pièce jointe JavaScript malveillante nommée avec une double extension ‘.TXT.js’. Comme Windows masque les extensions par défaut, si un destinataire enregistre le fichier sur son ordinateur, il apparaîtra comme un fichier texte inoffensif.
Source : HP
Ce fichier texte est fortement obscurci pour contourner la détection par le logiciel de sécurité et sera décodé lorsque le fichier sera double-cliqué et lancé.
Une fois lancé, le chargeur écrira un fichier VBScript dans le dossier %TEMP%, qui est ensuite exécuté pour télécharger la charge utile du malware (RAT).
Source : HP
Ces couches d’obscurcissement aident le malware à échapper à la détection 89 % du temps, sur la base des résultats de l’analyse VirusTotal.
« Bien que JavaScript soit un format de fichier malveillant moins courant que les documents et archives Microsoft Office, dans de nombreux cas, il est plus mal détecté. De notre ensemble de 155 échantillons RATDispenser, 77 étaient disponibles sur VirusTotal, ce qui nous a permis d’analyser leurs taux de détection », a expliqué le rapport par HP.
« En utilisant le premier résultat d’analyse de chaque échantillon, en moyenne, les échantillons RATDispenser n’ont été détectés que par 11% des moteurs antivirus disponibles, ou huit moteurs en nombre absolu. »
Cependant, les passerelles de messagerie détecteront le chargeur si l’organisation a activé le blocage des pièces jointes exécutables, telles que les fichiers .js, .exe, .bat, .com.
Un autre moyen d’empêcher la chaîne d’infection de se déployer consiste à modifier le gestionnaire de fichiers par défaut pour les fichiers JS, à autoriser uniquement l’exécution des scripts signés numériquement ou à désactiver le WSH (Windows Script Host).
Suppression des logiciels malveillants
Les chercheurs de HP ont pu récupérer huit charges utiles de logiciels malveillants différents à partir de RATDispenser au cours des trois derniers mois.
Les familles de logiciels malveillants identifiées sont STRRAT, WSHRAT, AdWind, Formbook, Remcos, Panda Stealer, GuLoader et Ratty.
Dans 10 des 155 échantillons analysés, le chargeur a établi une communication C2 pour récupérer les logiciels malveillants de deuxième étape, donc bien que cela soit rare, la fonctionnalité est là.
Source : HP
Dans 81% des cas de chute de logiciels malveillants, RATDispenser distribue STRRAT et WSHRAT (alias « Houdini), deux puissants voleurs d’informations d’identification et enregistreurs de frappe.
Panda Stealer et Formbook sont les deux seules charges utiles à toujours être téléchargées au lieu d’être supprimées.
Dans l’ensemble, RATDispenser semble s’adapter à la distribution d’anciens et de nouveaux logiciels malveillants, servant de chargeur polyvalent pour les acteurs malveillants de tous les niveaux de compétence.