थ्रेट एक्टर्स को पहले अनिर्दिष्ट जावास्क्रिप्ट मालवेयर स्ट्रेन का उपयोग करते हुए पाया गया है जो रिमोट एक्सेस ट्रोजन (आरएटी) और सूचना चोरी करने वालों की एक सरणी वितरित करने के लिए लोडर के रूप में कार्य करता है।

एचपी थ्रेट रिसर्च ने 2021 में कम से कम आठ अलग-अलग मैलवेयर परिवारों को तैनात करने के लिए जिम्मेदार मैलवेयर के साथ नए, इवेसिव लोडर “आरएटीडिस्पेंसर” को डब किया। इस नए मैलवेयर के लगभग 155 नमूनों की खोज की गई है, जो तीन अलग-अलग प्रकारों में फैले हुए हैं, यह संकेत देते हुए कि यह सक्रिय है विकास।

स्वचालित GitHub बैकअप

सुरक्षा शोधकर्ता पैट्रिक श्लैफ़र ने कहा, “रैटडिस्पेंसर का उपयोग सेकेंडरी मैलवेयर लॉन्च करने से पहले सिस्टम पर एक प्रारंभिक पैर जमाने के लिए किया जाता है जो समझौता किए गए डिवाइस पर नियंत्रण स्थापित करता है।” कहा. “सभी पेलोड आरएटी थे, जिन्हें जानकारी चुराने और हमलावरों को पीड़ित उपकरणों पर नियंत्रण देने के लिए डिज़ाइन किया गया था।”

इस तरह के अन्य हमलों के साथ, संक्रमण का प्रारंभिक बिंदु एक फ़िशिंग ईमेल है जिसमें एक दुर्भावनापूर्ण अनुलग्नक होता है, जो एक टेक्स्ट फ़ाइल के रूप में मुखौटा होता है, लेकिन वास्तव में एक VBScript फ़ाइल लिखने और निष्पादित करने के लिए प्रोग्राम किए गए जावास्क्रिप्ट कोड को अस्पष्ट कर दिया जाता है, जो बदले में , संक्रमित मशीन पर अंतिम चरण के मैलवेयर पेलोड को डाउनलोड करता है।

RATDispenser को विभिन्न प्रकार के मैलवेयर गिराते हुए देखा गया है, जिनमें शामिल हैं स्ट्रैट, वशरत (उर्फ हौदिनी या ह्वार्म), एडविंड (उर्फ एलियनस्पाई या सॉकरैट), फॉर्मबुक (उर्फ xLoader), रेम्कोस (उर्फ सॉकर), पांडा चोर, CloudEyE (उर्फ गुलोडर), और तेजस्वी, जिनमें से प्रत्येक क्रिप्टोक्यूरेंसी वॉलेट को लक्षित करने के अलावा, समझौता किए गए उपकरणों से संवेदनशील डेटा को साइफन करने के लिए सुसज्जित है।

डेटा उल्लंघनों को रोकें

“मैलवेयर परिवारों में विविधता, जिनमें से कई को भूमिगत बाजारों से स्वतंत्र रूप से खरीदा या डाउनलोड किया जा सकता है, और मैलवेयर ऑपरेटरों की प्राथमिकता उनके पेलोड को छोड़ने के लिए है, यह सुझाव देता है कि आरएटीडिस्पेंसर के लेखक मैलवेयर-ए-ए-सर्विस व्यवसाय के तहत काम कर रहे हैं। मॉडल,” श्लैफ़र ने कहा।

.


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here