Hay un nuevo descargable de JavaScript al acecho que no solo distribuye ocho troyanos de acceso remoto (RAT) diferentes, registradores de pulsaciones de teclas y ladrones de información, sino que también es capaz de eludir la detección de la mayoría de las herramientas de seguridad, según han advertido los expertos.
Los investigadores de ciberseguridad de HP Wolf Security bautizaron el malware como RATDispenser, señalando que, aunque los descargadores de JavaScript suelen tener un índice de detección más bajo que otros descargadores, este malware en particular es más peligroso, ya que emplea varias técnicas para evadir la detección.
"Es particularmente preocupante ver que RATDispenser solo es detectado por alrededor del 11% de los sistemas antivirus, lo que hace que este malware sigiloso se despliegue con éxito en los puntos finales de las víctimas en la mayoría de los casos", señaló Patrick Schlapfer, analista de malware de HP.
Schlapfer adds that RATs and keyloggers assist attackers gain backdoor access to infected computers. The actors then usually use the access to help siphon credentials for user accounts, and increasingly cryptocurrency wallets, and in some cases might even hawk the access on to ransomware operators.
Ratatouille
Los investigadores señalan que la cadena de infección comienza cuando un usuario recibe un correo electrónico que contiene un JavaScript malicioso oculto. Cuando se ejecuta, el JavaScript escribe un archivo VBScript, que a su vez descarga el contenido del malware antes de borrarse.
Una investigación más profunda reveló que había al menos tres variantes diferentes de RATDispenser en los últimos tres meses para un total de 155 muestras. Aunque la mayoría de estas muestras eran droppers, diez eran descargadores que se comunicaban a través de la red para introducir una capa secundaria de malware.
"La variedad de familias de malware, muchas de las cuales pueden comprarse o descargarse libremente en mercados clandestinos, y la preferencia de los operadores de malware por dejar caer sus cargas útiles, sugieren que los autores de RATDispenser pueden estar operando bajo un modelo de negocio de malware como servicio", dicen los investigadores.
