RATDispenser: JavaScript-Loader installiert Remote Access Trojaners (RAT) in Windows

Sicherheit (Pexels, allgemeine Nutzung)[English]Noch ein kurzer Nachtrag in Punkto Sicherheit, welcher mir die Tage unter die Augen gekommen ist. Die Sicherheitsforscher von HP Thread-Research sind auf einen in JavaScript geschriebenen Loader gestoßen, der auf Windows-Systemen Remote Access Trojaner (RAT) installiert. Der Entwickler scheint inzwischen mit acht Ransomware-Gruppen zusammen zu arbeiten.


Anzeige

Die Sicherheitsforscher von HP Thread-Research haben ihre Erkenntnisse im Blog-Beitrag RATDispenser: Stealthy JavaScript Loader Dispensing RATs into the Wild veröffentlicht.

Ungewöhnlicher Dropper-Ansatz

Malware-Gruppen sind immer auf der Suche nach neuen Wegen, um ihre Schadsoftware unter dem Radar von Virenschutzlösungen zu verbreiten. Bei der Überwachung diverser Systeme sind die Sicherheitsforscher von HP Thread-Research auf einen JavaScript-Loader gestoßen, den sie RATDispenser nennen. Die Aufgabe des Loaders ist es, Remote Access Trojaner (RATs) zu verbreiten.

RATDispenser
RATDispenser-Mail, Quelle: HP Thread-Research

Der Loader für das Schadprogramm wird per Spam-Mail als Anhang New Order.TXT .js verteilt. Der Name wurde so gewählt, in der Hoffnung, dass der Benutzer nur die Erweiterung .txt sieht, weil Windows die .js-Erweiterung für den Dateinamen ausblendet. Die Forscher schreiben, dass  der RATDispenser Sicherheitskontrollen mit einer Erkennungsrate von 11 % effektiv zu umgehen scheint.


Anzeige

Öffnet der Nutzer die JavaScript-Datei, wird die Malware ausgeführt. Das JavaScript läuft unter Windows Script Host und entschlüsselt sich zur Laufzeit. Dann schreibt es mit dem Befehlszeilenprozessor cmd.exe eine VBScript-Datei in den Ordner %TEMP%. Dazu wird dem cmd.exe-Prozess ein langes, verkettetes Argument übergeben, von dem Teile mit der echo-Funktion in die neue Datei geschrieben werden.

Anschließend wird die VBScript-Datei ausgeführt, die wiederum die Nutzlast der Malware herunterlädt. Nach dem erfolgreichen Download wird die Malware ausgeführt und die VBScript-Datei wird gelöscht. RATDispenser arbeitet in 94% der untersuchten Fälle also nur als Dropper für eine sekundäre Malware. Die Malware kommuniziert nicht über das Netzwerk, um eine bösartige Nutzlast zu übermitteln.

Die Sicherheitsforscher haben im Jahr 2021 acht Malware-Familien identifiziert, die über den RATDispenser verbreitet werden. Bei allen geladenen Malware-Proben handelte es sich um Remote Access Trojaner (RATs), die auf das Stehen von Informationen ausgelegt sind und Angreifern die Kontrolle über die Geräte der Opfer geben sollen. HP hat auf GitHub Informationen und YARA-Regeln zur Erkennung abgelegt. Die Details lassen sich im verlinkten Artikel nachlesen. (via)


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu RATDispenser: JavaScript-Loader installiert Remote Access Trojaners (RAT) in Windows

  1. Stephan sagt:

    Solche Loader sind nachwievor ein Risiko.
    Einerseits möchte der Anwender möglichst viel Komfort und Funktionen,
    was eben eine Schnittstelle zwischen Internet-> JavaScript -> VBS und Windows vorraus setzt.
    Genauso wie mit Office und VBA.
    Möglichst viel Erleichterung, was eben zu lasten der sicherheit geht.

    Solange die Software nur ein Loader ist, kann im schlimmsten fall zwar etwas Runtergeladen werden.
    Aber im besten fall (z.b. Firmen Netzwerke) sind die Domains m it den Downloads gesperrt und es wird nichts geladen.
    Und wenn doch etwas Geladen wird, kann es nichts anrichten weil die Nötigen rechte dazu Fehlen.

    Ich hatte früher schon das ein oder andere mal irgendwelche JS Dropper oder Downloader im Temp Ordner,
    die aber nichts anrichten konnten wegen Mangelnder Rechte.

    • Luzifer sagt:

      und wie alle Phishing Versuche hilt zu 100%: nix aus ner Mail anklicken weder Link noch Anhang. Bekommt man ne Mail mit irgendwas geht man auf den Account und prüft da!

      Das gleiche wie die Phising Welle mit AVM Anrufbeantworter oder die Mit Ihrem Konto stimmt etwas nicht bitte verifizieren sie …
      dann geht man direkt auf sein Konto und prüft! Nur Idi**** machen das aus der Mail raus!

      Es sind vielleicht 4 bis 5 Regeln (das kleine Ein mal Eins der IT), welche man beachten muss und man ist zu 100% geschützt!

      Bei Phishing hab ich keinerlei Mitleid, wer da drauf reinfällt hat es verdient!

      • FriedeFreudeEierkuchen sagt:

        Du scheinst aus der Sicht des Privatmenschen zu argumentieren. Ganz so einfach ist es in der Praxis nicht.

        Zum einen bekommt man immer wieder auch legitime Anhänge geschickt – es ist somit nur eine Frage des Social Engineerings, dir eine plausible Malware unterzujubeln.
        Zusätzlich darfst du den Faktor Stress nicht unterschätzen. Selbst sehr sicherheitsbewusste User machen Fehler, weil niemand 24/7 hellwach im Geist ist. Ich habe in den letzten 20 Jahren mehrmals Vorfälle mit sehr vorsichtigen Usern erlebt. Die meisten waren gerade im Stress. Es war auch mal ein super-zufälliges Zusammentreffen von Phishing-Mail mit erwarteter Mail dabei: Chef nutzt gerade Scan-to-Mail, kommt an seinen Platz und findet eine Scanner-Phishing-Mail im Postfach. Er ist super auf Sicherheit ge-brieft, aber da war es ein super blöder Zufall.

        "Das gleiche wie die Phising Welle mit AVM Anrufbeantworter"
        Nun, du hast daheim die Oberhoheit über deine Fritzbox. Du kannst solche Verrenkungen machen. Aber in der Firma will man nicht unbedingt, dass sich MA auf dem Gerät einloggen, oder? Daher greift man auf Mailbenachrichtigungen zurück.

        "Nur Idi**** machen das aus der Mail raus!"
        Privatmenschen-Blick. Und unterschlägt soziale Faktoren (siehe oben).

        "Es sind vielleicht 4 bis 5 Regeln (das kleine Ein mal Eins der IT), welche man beachten muss und man ist zu 100% geschützt!"
        Reine Theorie. Klar brieft man ständig die Leute, sensibilisiert sie auf Phishing etc. Aber dadurch erreicht man keine 100% Sicherheit. Falls du IT-Verantwortung trägst, scheinst du deinen Usern nicht zu zuhören.

        "Bei Phishing hab ich keinerlei Mitleid, wer da drauf reinfällt hat es verdient!"
        Starke Meinung. falsche Meinung. In der Praxis ist alles etwas komplexer.
        Wer sich so sicher fühlt, wird sich irgendwann Malware fangen. Ein Sicherheitsgefühl fördert Sicherheits-Unfälle. Ob die User sich jetzt auf "Brain 2.0", ihre bombensichere Checkliste oder auf ihr Betriebssystem verlassen, ist dabei egal. Es gibt keinen 100% Schutz und man sollte sich dementsprechend mehrfach absichern und immer damit rechnen, dass man von einer Malware betroffen sein könnte.

        • Stephan sagt:

          Bei meinem Arbeitgeber sind viele Internetseiten Gesperrt.
          Auch der Download aus solchen Quellen wird unterbunden.

          Zusätzlich werden die Mitarbeiter regelmäßig zu Schulungen gezwungen und bekommen "Test EMails".

          Wenn sich mehr leute an solche dinge halten würden, gäb es einfach solche Probleme nicht.

          Die Leichtfertigkeit vieler Mitarbeiter ist die größte Unsicherheit bei solchen dingen.
          Dabei liegt die Verantwortung in der IT entsprechende maßnahmen einzuführen und die leute zu schulen.

          Ein einfaches "Klick nix in der EMail an" reicht eben nicht.

          • Rudolf R. sagt:

            > Die Leichtfertigkeit vieler Mitarbeiter ist die größte Unsicherheit bei solchen dingen.

            Die Leichtfertigkeit, ein Arbeitsplatzsystem zu konzipieren bzw. für Mitarbeiter einzusetzen, wo es möglich ist, dass Anhänge solche Schäden verursachen, und dann daran über Jahre festzuhalten, das ist der eigentliche Wahnsinn bei solchen Dingen.

            IT-Fachkräftemangel, seit Jahrzehnten.

        • Luzifer sagt:

          ach ja und welchen Grund sollte es geben das so ne Mail ungeprüft direkt beim Sachbearbeiter landet? Incoming Mails mit Anhänge durchlaufen erstmal diverse Scans und Sicherheitsstufen. Es ist auch nicht nötig das die beim Sachbearbeiter in der regulären Umgebung auflaufen ( Stichwort: Sandbox) Auch ist es vollkommen unnötig das die mit Makrobelastung etc. da einschlagen, nach dem die die Sicherheitsstufen durchlaufen haben werden die in Plaintext etc. gewandelt und können so gar kein Schaden mehr anrichten!
          Wenn Malware beim Sachbearbeiter aufschlägt hat die IT bereits versagt!

          Ja du hast Recht ich wurde auch bereits schon Opfer, aber nicht bei mir, sondern durch Adobe und andere Drecksfirmen die ihre Datenbanken nicht gesichert haben!

          Sicherheit darf eben niemals zur Bequemlichkeit führen! Und das geht durchaus; erfordert aber eben Diziplin und fähiges Personal!

          Es gibt durchaus Malware die kannst du nicht verhindern oder nur mit enormen Aufwand: DriveBy, Firmware Malware etc. Phishing gehört definitiv nicht dazu!

          • Luzifer sagt:

            /edit/
            wir versenden von Zeit zur Zeit selbst intern solche "Phishing Mails" die haben als Payload halt lediglich eine Rückmeldung an die IT …
            Da gibt es dann doppelt Ärger: einmal in der IT wen die durchkommen und zum anderen bei dem Mitarbeiter der draufreinfällt.

            Zuerst ne Nachschulung, danach ne Verwarnung und wenn letztendlich das auch nicht hilft die Kündigung! Menschliche unbelehrbare Sicherheitsrisiken brauchen wir nicht! Fehler passieren, aber dann muss man daraus lernen!
            Und stell dir vor es funktioniert.

            Klar Schulungen ohne Konsequenzen bringen nix.

  2. Stefan Kanthak sagt:

    AUTSCH!
    0. Mit den seit 20 Jahren verfügbaren Softwarebeschränkungsrichtlinien kann jeder nicht völlig merkbefreite Windows-Missbraucher das Ausführen solcher Dateien WIRKSAM unterbinden!
    1. Spätestens ab Windows XP SP2 erfahren ausführbare Anhänge sowie Downloads eine Sonderbehandlung und werden als "gefährlich" eingestuft. Alle nicht von Volltrotteln verbrochenen Mail-Clients und Web-Browser, die den "Attachment Manager" aufrufen, zeigen vor dem Speichern eine DEUTLICHE Warnung an, deren Default-Schaltflächen [NICHT Speichern] bzw. [Abbrechen] ist.
    2. Ebenfalls ab Windows XP SP2, also seit über 17 Jahren, setzen alle nicht von Volltrotteln verbrochenen Mail-Clients sowie Web-Browser beim Speichern von Anhängen das sog. "mark of the web".
    Beim Versuch, eine mit MOTW versehene Datei per Doppelklick zu Öffnen/Auszuführen wird Otto Normalmissbraucher eine DEUTLICHE Warnung angezeigt, deren Default-Schaltfläche [NICHT Öffnen] ist.
    Kurz: "mostly harmless"!

  3. Sebastian sagt:

    Sowas werden wir wieder öfter sehen wenn .docm,.xlsm nicht mehr ausreichend ziehen.
    (Vielleicht erinnert sich noch einer, mit .vbs "i love you" usw. ging der Spass damals los.)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.