RATDispenser написан на JavaScript и распространяется через электронные письма с вредоносным вложением. Для того чтобы убедить жертву открыть его, злоумышленники используют известную уловку с двойным расширением (filename.txt.js), выдавая JavaScript-код за текстовый файл. После того, как жертва откроет вложение, RATDispenser расшифровывает себя и запускает в автономном файле VBScript, который затем устанавливает RAT.
«Разнообразие семейств вредоносных программ, многие из которых можно купить или бесплатно скачать на подпольных торговых площадках, и тот факт, что операторы вредоносного ПО отдают ему предпочтение для загрузки своих программ, свидетельствует о том, что авторы RATDispenser могут работать по бизнес-модели “вредоносное ПО как услуга”», - сообщил аналитик HP Wolf Security Патрик Шляпфер (Patrick Schläpfer).
В общей сложности специалисты HP выявили порядка 155 образцов нового вредоноса. В настоящее время есть только три версии RATDispenser, а значит, он существует не более нескольких месяцев.
RATDispenser представляет собой дроппер – разновидность вредоносного ПО, используемого для установки на атакуемые системы других угроз. В отличие от загрузчиков дропперы содержат финальную полезную нагрузку в себе и не соединяются с C&C-серверами. Это делает их менее универсальными, но зато более незаметными.
Индикаторы компрометации представлены в отчете HP Wolf Security.