Stealthy new JavaScript malware infects Windows PCs with RATs
2021/11/24 BleepingComputer -javescript– RATDispenser と名付けられた、ステルス性の高い新しい JavaScript ローダーが、フィッシング攻撃を介して、さまざまなリモート・アクセス・トロイの木馬 (RAT) をデ感染させている。この新しいローダーは、少なくとも8つのマルウェア・ファミリーに対して、配布に関するパートナーシップを確立しており、いずれのケースにおいても情報を盗み出し、ターゲット・デバイスの制御権を脅威アクターに与えることを目的としている。
HP Threat Research チームが分析した 94% のケースにおいて、RATDispenser は脅威アクターの管理するサーバーとは通信せず、第一段階のマルウェア・ドロッパーとしてのみ使用されていた。このローダーは、Microsoft Office 文書を使ってペイロードを投下するというトレンドとは逆に、検出率は低いと HP が判定している、JavaScript 添付ファイルを使用している。
感染経路
この感染は、「.TXT.js」という二重拡張子の付いた、悪質な JavaScript 添付ファイルを含むフィッシング・メールから始まる。Windows はデフォルトで拡張子を隠すため、受信者がファイルをコンピュータに保存すると、無害なテキスト・ファイルとして表示されてしまう。
このテキストファイルは、セキュリティ・ソフトウェアによる検出を回避するために高度に難読化されており、ファイルをダブルクリックして起動すると解読される。起動されると、ローダーは VBScript ファイルを %TEMP% フォルダに書き込み、これが実行されてマルウェア (RAT) のペイロードがダウンロードされる。こうした難読化のレイヤーにより、VirusTotal のスキャン結果によると、このマルウェアは 89% の確率で検出を回避している。
HP のレポート RATDispenser: Stealthy JavaScript Loader Dispensing RATs into the Wild は、「この JavaScript は、Microsoft Office 文書やアーカイブに比べて特殊なマルウェアのファイル形式であり、多くの場合において検出され難くなっている。RATDispenser の 155個のサンプルのうち、77個が VirusTotal に掲載されており、その検出率を分析することができた。各サンプルの最も古いスキャン結果を用いると、RATDispenser のサンプルは平均して、一般的なアンチウイルス・エンジンの 11% で、つまり絶対数で8種類のエンジンだけに検出されている。
ただし、メール・ゲートウェイに関しては、.js/.exe/.bat/.com ファイルなどの実行可能な添付ファイルに対して、ユーザー組織がブロックを有効にしていれば、このローダーは検出される。また、JS ファイルのデフォルトのファイル・ハンドラーの変更や、デジタル署名されたスクリプトに限定した実行許可、WSH (Windows Script Host) の無効化などにより、感染の連鎖を防ぐことができる。
マルウェアの投下
HP の研究者たちは、これまでの3ヶ月の間に、RATDispenser から8種類のマルウェア・ペイロードを取得している。識別されたマルウェア・ファミリーは、STRRAT/WSHRAT/AdWind/Formbook/Remcos/Panda Stealer/GuLoader/Ratty となっている。分析した 155種類のサンプルのうち10種類のサンプルでは、ローダーがC2通信を確立して第2段階のマルウェアを取得している。これは稀なケースだが、その機能は存在している。
マルウェアをドロップしたケースの 81% において、RATDispenser は、認証情報を窃取機能とキーロガーである STRRAT と WSHRAT (別名 Houdini) を配布している。
Panda Stealer と Formbook は、ドロップに依存するのではなく、常にダウンロードされる唯一のペイロードである。全体的に見て、RATDispenser は新旧のマルウェア配布に対応しており、あらゆるスキル・レベルの脅威アクターにとって、多目的ローダーとしての役割を果たしているようだ。
10月に「JavaScript と難読化:脅威スクリプトの 26% が検知を逃れている」という記事をポストしています。また、JavaScript からは、少し話が逸れてしまいますが、以前に「攻撃者たちが Go / Rust / Nim / DLang を使うのは何故なのか?」という記事をポストしています。ここでも、指摘されているのはスティルス性です。延々と続く追いかけっこですね。
IoT OT Security News 