La amenaza fue identificada por una cepa de malware de JavaScript no documentada previamente que actúa como un cargador para la distribución de una serie de troyanos para acceso remoto (RAT) y ladrones de información.

HP Threat Research llamó al nuevo «RATDispenser» con el malware responsable de implementar al menos ocho familias de malware diferentes en 2021. Se descubrieron alrededor de 155 muestras de este nuevo malware y se dividieron en tres variantes diferentes, lo que indica que está activo. desarrollo.

«RATDispenser se usa para obtener una posición inicial en el sistema antes de ejecutar malware secundario, lo que brinda control sobre el dispositivo infectado», dijo el investigador de seguridad Patrick Schläpfer. «Todas las cargas útiles eran RAT diseñadas para robar información y dar a los atacantes control sobre las instalaciones de las víctimas».

Al igual que con otros ataques de este tipo, el punto de partida de la infección es un correo electrónico de phishing que contiene un archivo adjunto malicioso que pretende ser un archivo de texto, pero en realidad es un código JavaScript confuso programado para escribir y ejecutar un archivo VBScript, que a su vez descarga la etapa final del malware en la computadora infectada.

Se ha observado que RATDispenser libera varios tipos de malware, incluidos STRRAT, WSHRAT (también conocido como Houdini o Hworm), AdWind (también conocido como AlienSpy o Sockrat), Formbook (también conocido como xLoader), Remcos (también conocido como Socmer), Panda Stealer, CloudEyE (también conocido como GuLoader) y Ratty, cada uno de los cuales está equipado para extraer datos confidenciales de dispositivos comprometidos, además de apuntar a billeteras de criptomonedas.

«La diversidad de familias de malware, muchas de las cuales se pueden comprar o descargar de forma gratuita en mercados clandestinos, y la preferencia de los operadores de malware por renunciar a su carga útil sugiere que los autores de RATDispenser pueden ser malware como servicio. modelo ”, dijo Schläpfer.