Denne skadevaren smetter unna nesten alle antivirusprogrammer

Sikkerhetsforskere hos HP advarer.

Denne skadevaren smetter unna nesten alle antivirusprogrammer
Ny skadevare distribuerer RAT-programmer og er vanskelig å oppdage, opplyser forskere. Illustrasjonsfoto: geralt/Pixabay

Skadevare blir mer sofistikert i et rasende tempo, og evnen til å ligge i skjul er blant egenskapene som gjør programmene farligere. Nå omtales en ny skadevare som er bemerkelsesverdig kompetent på nettopp dette området.

Sikkerhetsforskere hos PC-giganten HP rapporterer om et ondsinnet program de har kalt RATDispenser, som kun oppdages av en tiendedel av tilgjengelige antivirusverktøy. Dermed er den altså vrien å avdekke.

Laster ned andre ondsinnede programmer

RATDispenser er en Javascript-basert programvare som ifølge forskerne primært brukes som en såkalt «loader» – som betyr at den benyttes til å laste andre ondsinnede programmer, primært RAT-programmer (remote access trojan).

– Med en oppdagelsesrate på 11 prosent fremstår RATDispenser som effektiv når det gjelder å unnvike sikkerhetskontroller og levere skadevare. Totalt identifiserte vi åtte skadevarefamilier distribuert ved hjelp av denne skadevaren i 2021. All nyttelasten var RAT-programmer designet for stjele informasjon og gi angriperne kontroll over offerets maskin, skriver forskerne.

Den ondsinnede programvaren som RATDispenser brukes til å distribuere, kan ifølge forskerne fritt kjøpes eller lastes ned fra undergrunnsmarkeder.

Det faktum at funksjonaliteten til det ondsinnede programmet begrenser seg til distribusjon av andre programmer, gjør at forskerne mistenker at det dreier seg om en «skadevare-som-tjeneste»-modell. Dette innebærer at bakmennene «leier ut» distribusjonskanalen til andre aktører.

Infeksjonen starter med at brukeren mottar en e-post med et ondsinnet tillegg. Dette tillegget er som regel en Javascript-fil forkledd som en vanlig tekstfil og utgir seg for å være informasjon om en bestilling som brukeren har utført. Programmet starter ved at brukeren dobbeltklikker på filen.

Kan registrere tastetrykk og stjele data

Skjulingen av programmets intensjon skjer ifølge forskerne gjennom lange kodetråder som går under radaren til antivirusprogrammer, og dekodes av funksjoner som ligger skjult i Javascript-skriptet. Dekodingen skjer altså når brukeren aktiverer programmet.

De to vanligste RAT-programmene som spres via RATDispenser heter STRRAT og WSHRAT, og de utgjorde over 80 prosent av prøvene som forskerne analyserte. STRRAT ble først oppdaget i fjor og legger blant annet til rette for fjerntilgang til systemet, tyveri av sensitive data og har også keylogging-funksjonalitet – som betyr at den registrerer brukerens tastetrykk.

WSHRAT er også kjent som Houdini og ble først oppdaget så langt tilbake som i 2013. Denne har ifølge forskerne «typiske» RAT-funksjoner.

Det er uvisst akkurat hvor utbredt RATDispenser for øyeblikket er, men den beste måten å sikre seg på er – som med så mange andre skadevaretyper  – å la være å klikke på filer og tillegg i e-poster som man ikke kan gå god for.

Flere tekniske detaljer finner du i selve forskningsrapporten.

Les også

;