Một tŕnh tải xuống JavaScript mới đă phát tán 8 mă độc (Trojan) truy cập từ xa (RAT). Tŕnh theo dơi thao tác bàn phím (keylogger) và tŕnh đánh cắp thông tin khác nhau. Nó có thể vượt qua sự phát hiện của phần lớn các công cụ bảo mật.
Các nhà nghiên cứu an ninh mạng tại HP lưu ư rằng, mặc dù những người tải xuống JavaScript thường có tỷ lệ phát hiện thấp hơn những tŕnh tải xuống khác, nhưng phần mềm độc hại cụ thể này nguy hiểm hơn v́ nó sử dụng một số kỹ thuật để tránh bị phát hiện.
Nhà phân tích Patrick Schlapfer tại HP cho biết: “Hệ thống chống virus chỉ phát hiện được 11% phần mềm độc hại này, v́ vậy chúng đă xâm nhập thành công vào nhiều máy trạm của nạn nhân”.
Schlapfer cho biết thêm rằng, RAT và keylogger hỗ trợ những kẻ tấn công truy cập “cửa hậu” vào các máy tính bị nhiễm. Sau đó, các tác nhân thường sử dụng quyền truy cập để giúp lấy thông tin đăng nhập cho tài khoản người dùng và ví tiền điện tử và trong một số trường hợp, thậm chí có thể truy cập vào các nhà khai thác mă độc tống tiền (ransomware).
Các nhà nghiên cứu lưu ư rằng, chuỗi lây nhiễm bắt đầu bằng việc người dùng nhận được email chứa mă độc trong JavaScript. Khi nó chạy, JavaScript sẽ ghi một tệp VBScript, tệp này sẽ tải xuống phần mềm độc hại, trước khi tự xóa.
Nghiên cứu sâu hơn cho thấy, có ít nhất ba biến thể RATDispenser khác nhau trong ba tháng qua với tổng số 155 mẫu.
“Sự đa dạng trong các họ phần mềm độc hại, nhiều trong số đó có thể được mua hoặc tải xuống miễn phí từ các thị trường ngầm. Tác giả của phần mềm độc hại RATDispenser có thể đang hoạt động dưới dạng phần mềm độc hại như một dịch vụ”.