{"id":259829,"date":"2021-11-26T00:14:00","date_gmt":"2021-11-25T23:14:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=259829"},"modified":"2023-02-20T08:18:41","modified_gmt":"2023-02-20T07:18:41","slug":"ratdispenser-javascript-loader-installiert-remote-access-trojaners-rat-in-windows","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/11\/26\/ratdispenser-javascript-loader-installiert-remote-access-trojaners-rat-in-windows\/","title":{"rendered":"RATDispenser: JavaScript-Loader installiert Remote Access Trojaners (RAT) in Windows"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Noch ein kurzer Nachtrag in Punkto Sicherheit, welcher mir die Tage unter die Augen gekommen ist. Die Sicherheitsforscher von HP Thread-Research sind auf einen in JavaScript geschriebenen Loader gesto\u00dfen, der auf Windows-Systemen Remote Access Trojaner (RAT) installiert. Der Entwickler scheint inzwischen mit acht Ransomware-Gruppen zusammen zu arbeiten.<\/p>\n

<\/p>\n

\"\"Die Sicherheitsforscher von HP Thread-Research haben ihre Erkenntnisse im Blog-Beitrag RATDispenser: Stealthy JavaScript Loader Dispensing RATs into the Wild<\/a> ver\u00f6ffentlicht.<\/p>\n

Ungew\u00f6hnlicher Dropper-Ansatz<\/h2>\n

Malware-Gruppen sind immer auf der Suche nach neuen Wegen, um ihre Schadsoftware unter dem Radar von Virenschutzl\u00f6sungen zu verbreiten. Bei der \u00dcberwachung diverser Systeme sind die Sicherheitsforscher von HP Thread-Research auf einen JavaScript-Loader gesto\u00dfen, den sie RATDispenser nennen. Die Aufgabe des Loaders ist es, Remote Access Trojaner (RATs) zu verbreiten.<\/p>\n

\"RATDispenser\"
\nRATDispenser-Mail, Quelle: HP Thread-Research<\/p>\n

Der Loader f\u00fcr das Schadprogramm wird per Spam-Mail als Anhang New Order.TXT .js <\/em>verteilt. Der Name wurde so gew\u00e4hlt, in der Hoffnung, dass der Benutzer nur die Erweiterung .txt sieht, weil Windows die .js-Erweiterung f\u00fcr den Dateinamen ausblendet. Die Forscher schreiben, dass\u00a0 der RATDispenser Sicherheitskontrollen mit einer Erkennungsrate von 11 % effektiv zu umgehen scheint.<\/p>\n

\u00d6ffnet der Nutzer die JavaScript-Datei, wird die Malware ausgef\u00fchrt. Das JavaScript l\u00e4uft unter Windows Script Host und entschl\u00fcsselt sich zur Laufzeit. Dann schreibt es mit dem Befehlszeilenprozessor cmd.exe <\/em>eine VBScript-Datei in den Ordner %TEMP%<\/em>. Dazu wird dem cmd.exe-Prozess ein langes, verkettetes Argument \u00fcbergeben, von dem Teile mit der echo-Funktion in die neue Datei geschrieben werden.<\/p>\n

Anschlie\u00dfend wird die VBScript-Datei ausgef\u00fchrt, die wiederum die Nutzlast der Malware herunterl\u00e4dt. Nach dem erfolgreichen Download wird die Malware ausgef\u00fchrt und die VBScript-Datei wird gel\u00f6scht. RATDispenser arbeitet in 94% der untersuchten F\u00e4lle also nur als Dropper f\u00fcr eine sekund\u00e4re Malware. Die Malware kommuniziert nicht \u00fcber das Netzwerk, um eine b\u00f6sartige Nutzlast zu \u00fcbermitteln.<\/p>\n

Die Sicherheitsforscher haben im Jahr 2021 acht Malware-Familien identifiziert, die \u00fcber den RATDispenser verbreitet werden. Bei allen geladenen Malware-Proben handelte es sich um Remote Access Trojaner (RATs), die auf das Stehen von Informationen ausgelegt sind und Angreifern die Kontrolle \u00fcber die Ger\u00e4te der Opfer geben sollen. HP hat auf GitHub<\/a> Informationen und YARA-Regeln zur Erkennung abgelegt. Die Details lassen sich im verlinkten Artikel<\/a> nachlesen. (via)<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Noch ein kurzer Nachtrag in Punkto Sicherheit, welcher mir die Tage unter die Augen gekommen ist. Die Sicherheitsforscher von HP Thread-Research sind auf einen in JavaScript geschriebenen Loader gesto\u00dfen, der auf Windows-Systemen Remote Access Trojaner (RAT) installiert. Der Entwickler scheint … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,1107,3288],"class_list":["post-259829","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-trojaner","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259829","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=259829"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259829\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=259829"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=259829"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=259829"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}