Javascript Loader verteilt Malware auf Windows-PCs
Ein neuer Malware-Downloader infiziert Windows PCs. Durch Javascript wird der Schadcode in das System eingeschleust. Gängige Sicherheitssysteme können den Eindringling nicht erkennen.
Ein neuer Javascript Loader namens RATDispenser infiziert Geräte durch Phishing-Angriffe, wie "Bleepingcomputer" berichtet. Der neuartige Malware-Loader verteile Schadcode aus mindestens acht verschiedenen Malware-Familien – mit dem Ziel, Informationen zu stehlen und dem Angreifer die Kontrolle über infizierte Gerät zu ermöglichen.
Das HP Threat Research Team fand heraus, dass der RATDispenser in 94 Prozent der Fälle nicht mit einem von Hackern kontrollierten Server kommuniziert, sondern lediglich als Malware Dropper fungiere. Laut HP nutzt die Software dabei keine Microsoft Office Dokumente, um sich in das System einzuschleusen, sondern Javascript-Anhänge.
So läuft die Infektion ab
Meist erhielten potenzielle Opfer eine Phishing-Mail mit einem Dateianhang. Dieser Anhang habe beispielsweise die Dateinamen-Endung: ".txt.js". Da die Dateiendungen meist ausgeblendet werden, sind sie für die Nutzerinnen und Nutzer nur als gewöhnliche Textdokumente erkennbar. Ferner sei die Malware aufgrund einer fortgeschrittenen Verschleierungstechnik schwer für Sicherheitssoftware zu erkennen.
"Obwohl Javascript ein weniger verbreitetes Malware-Dateiformat ist als Microsoft-Office-Dokumente und Archive, wird es in vielen Fällen schlechter erkannt. Von unseren 155 RATDispenser-Samples waren 77 auf Virustotal verfügbar, sodass wir ihre Erkennungsraten analysieren konnten", heisst es im Bericht von HP.
Nach dem Start schreibe der Loader ein Visual Basic Script in den "%TEMP%"-Ordner. Dieses wird anschliessend ausgeführt. Virustotal schätzt, dass die Malware so in 89 Prozent der Fälle unerkannt bleiben kann.
Wie man sich schützen kann
Gemäss "Bleepingcomputer" kann man sich schützen, indem man im E-Mail-Gateway Dateien mit Endung ".js" blockiert. Auch sei es möglich, die Infektionskette zu stoppen, indem man die Standard-Anwendung für Dateiendungen ".js" ändert. Ausserdem könne es helfen, nur digital signierte Skripte zuzulassen und den Windows Script Host (WSH) zu deaktiviert.
Welche Malware verteilt wird
Die Forscher von HP haben laut Mitteilung acht verschiedene Payloads von RATDispenser abrufen können. Die Familien der identifizierten Malware sind: STRRAT, WSHRAT, AdWind, Formbook, Remcos, Panda Stealer, GuLoader und Ratty.
In 10 von 155 Fällen stellte der Loader eine C2-Kommunikation her, um so Malware der zweiten Stufe zu laden. In rund acht von zehn Fällen verteilte RATDispenser die Malware STRRAT und WSHRAT (auch als "Houdini" bekannt). Dabei handelt es sich um Keylogger, die versuchen, Anmeldeinformationen zu stehlen.
Bedrohungslage
RATDispenser ist laut "Bleepingcomputer" in der Lage, sowohl alte als auch neue Malware herunterzuladen. Durch diese Vielseitigkeit könne Malware aller Bedrohungsstufen verbreitet werden.