Больше всего экспертов из HP беспокоит то, что RATDispenser обнаруживается только 11% доступных антивирусных движков. Он может обходить средства обнаружения и успешно развертывать вредоносное ПО в большинстве случаев.
Вредоносная программа использует несколько методов уклонения от обнаружения. Например, использует файл JavaScript, маскирующийся под текстовый файл. Пользователю достаточно дважды щелкнуть файл, чтобы запустить загрузчик вредоносного ПО. Сам скрипт загрузчика замаскирован, чтобы скрыть вредоносный код и избежать обнаружения инструментами сканирования вредоносных программ.
«RAT и кейлоггеры представляют собой скрытую угрозу, помогая злоумышленникам получить незаконный доступ к зараженным компьютерам и украсть учетные данные из корпоративных учетных записей или даже кошельков с криптовалютой. Киберпреступники могут перекачивать конфиденциальные данные, расширять свой доступ и в некоторых случаях продавать этот доступ в группах программ-вымогателей», — объясняет Патрик Шлапфер, аналитик вредоносных программ из HP.
Для защиты от атаки эксперты рекомендуют компаниям проверять, какие типы файлов вложений электронной почты разрешены их шлюзом электронной почты, и блокировать те типы исполняемых файлов, которые не нужны. Они также могут прерывать выполнение вредоносной программы, изменяя обработчик файлов по умолчанию для файлов JavaScript, в том числе разрешив запуск только сценариев с цифровой подписью или отключив Windows Script Host (WSH).
HP Wolf Security также предлагает бесплатное правило YARA, скрипт извлечения Python и опубликованные индикаторы взлома (IoC), которые можно использовать для обнаружения и анализа вредоносного ПО.
Читать далее:
Посмотрите, как выглядит Сатурн с Луны. Фото сделал орбитальный аппарат НАСА
«Хаббл» завершил путешествие по внешней Солнечной системе: что он там увидел
Термоядерный реактор KSTAR установил рекорд: он удержал плазму дольше, чем когда-либо