RATDispenser
RATのDispenserですか。
すごい名前です。
これは、JavaScriptで書かれたローダーです。
確認されている情報によると、RATDispenserは、名前の通り、RAT(リモートアクセストロイ)を配布します。
2021年についての調査では8種類のマルウェアファミリーの配布に関連して使用されていることが確認されています。
次のようなものです。
- 感染の最初の段階は、テキストファイルを装った状態でメールにJavaScriptを添付し、開かせる
たとえば注文書データを装い、ファイルを開かせようとします。 - 難読化が進んでいます
複数のevalとdecodeを経て、はじめて実行可能な形式になるように書かれています。
replace関数を使用して文字列を分割し、ネストされた配列に格納し、eval関数を使用してコマンドを解釈して実行します。
このため、このマルウェアをマッチさせるYARAルールを作ることは簡単ではありませんでした。
このマルウェアにマッチするYARAルールは、現在、hpthreatresearchがGitHubで公開しています。 - すでに複数の亜種が存在する
いくつかの亜種は、ダウンローダー動作を実行しないものとなっています。
ネットワークからマルウェアをもっていくるのではなく、自分の中にマルウェア本体をBase64でエンコードされた文字列として格納していてそれを展開する動作を実施します。
このため、この種の亜種は、ネットワークの利用を使った検出を行うことはできないものとなっています。 - 展開されるものはSTRRATやWSHRATなど
確認されている情報では、RATDispenserが展開するマルウェアの81%がSTRRATとWSHRATでした。
STRRATは、リモートアクセス、資格情報の盗用、およびキーロガー機能を備えたJavaRATです。
WSHRATは、VBS RATです。
ほかに、暗号通貨ウォレットを標的とするPandaStealerも配布されています。
RATDispenserは感染が広がっていると予測されますが、現時点ではアンチウイルス機構での検出率は高くありません。
2021年11月23日時点のVirusTotalでの確認結果では、ほんの11%のアンチウイルスでしか検出することができませんでした。
2021年11月29日時点でもう一度VirusTotalで確認してみたところ、検出率はたとえば50%くらいまで上がってきている亜種もあるようです。
まだ安心とは言えない状況と考えるべきでしょう。
アンチウイルスの機構は重要です。
しかしそれがあるということのみで安心することはできません。
メールの添付にしても、ウェブページのファイルにしても、それが何者なのかをよく考えて取り扱うようにする必要がありそうです。
参考記事(外部リンク):RATDispenser: Stealthy JavaScript Loader Dispensing RATs
into the Wild
threatresearch.ext.hp.com/javascript-malware-dispensing-rats-into-the-wild/参考記事(外部リンク):hpthreatresearch / tools
tools/ratdispenser/ratdispenser.yar
github.com/hpthreatresearch/tools/blob/main/ratdispenser/ratdispenser.yar