Наблюдавана е нова фишинг кампания, която предоставя троянски коне за отдалечен достъп (RAT), като VCURMS и STRRAT, чрез зловреден Java-базиран даунлоудър.

„Нападателите са съхранявали зловреден софтуер в публични услуги като Amazon Web Services (AWS) и GitHub, като са използвали комерсиален протектор, за да избегнат откриването на зловредния софтуер“, заяви Юрен Уан, изследовател от Fortinet FortiGuard Labs.

Необичаен аспект на кампанията е използването от VCURMS на имейл адрес Proton Mail („sacriliage@proton[.]me“) за комуникация със сървър за командване и управление (C2).

Веригата от атаки започва с фишинг имейл, който призовава получателите да кликнат върху бутон за проверка на информацията за плащане, в резултат на което се изтегля злонамерен JAR файл („Payment-Advice.jar“), хостван в AWS.

Изпълнението на JAR файла води до извличането на още два JAR файла, които след това се изпълняват поотделно, за да стартират двойните троянски коне.

Освен че изпраща имейл със съобщението „Хей, господине, аз съм онлайн“ на адреса, контролиран от извършителите, VCURMS RAT периодично проверява пощенската кутия за имейли с определени редове на темата, за да извлече командата, която трябва да се изпълни, от тялото на съобщението.

Това включва изпълнение на произволни команди с помощта на cmd.exe, събиране на системна информация, търсене и качване на файлове, които представляват интерес, и изтегляне на допълнителни модули за кражба на информация и кийлогър от същата крайна точка на AWS.

Крадецът на информация е снабден с възможности за извличане на чувствителни данни от приложения като Discord и Steam, пълномощия, бисквитки и данни за автоматично попълване от различни уеб браузъри, снимки на екрани и обширна хардуерна и мрежова информация за компрометираните хостове.

Твърди се, че VCURMS има сходства с друг Java-базиран информационен крадец с кодово име Rude Stealer, който се появи в дивата природа в края на миналата година. STRRAT, от друга страна, е открит в дивата природа поне от 2020 г., като често се разпространява под формата на измамни JAR файлове.

„STRRAT е RAT, създаден с помощта на Java, който има широк спектър от възможности, като например да служи като кийлогър и да извлича идентификационни данни от браузъри и приложения“, отбеляза Уан.

Разкритието идва в момент, когато Darktrace разкри нова фишинг кампания, която се възползва от автоматизирани имейли, изпращани от услугата за съхранение в облака Dropbox чрез „no-reply@dropbox[.]com“, за да разпространи фалшива връзка, имитираща страницата за вход в Microsoft 365.

„Самото електронно писмо съдържаше връзка, която щеше да отведе потребителя до PDF файл, хостван в Dropbox, който привидно беше кръстен на партньор на организацията“, заявиха от компанията. „PDF файлът съдържаше подозрителна връзка към домейн, който никога преди това не е бил виждан в средата на клиента – „mmv-security[.]top“.

 

Източник: The Hacker News

Подобни публикации

19 януари 2025

Нарушението на данните на Wolf Haldenstein зася...

Адвокатската кантора Wolf Haldenstein Adler Freeman & Herz LLP ...
19 януари 2025

САЩ призовават за преодоляване на разликата в р...

Агенцията за киберсигурност CISA и други правителствени агенции при...
19 януари 2025

САЩ наложиха санкции за масираната хакерска ата...

Министерството на финансите обяви в петък санкции във връзка с маща...
19 януари 2025

Фалшивият Брад Пит е разкрит: как етичен хакер ...

Маруан Уараб, бивш измамник и киберпрестъпник, превърнал се в етиче...
18 януари 2025

FTC нарежда на GoDaddy да коригира неадекватнит...

След като установи, че политиките за сигурност на GoDaddy са недост...
17 януари 2025

SSO - опростете достъпа и защитете бизнеса си

Днес предприятията са изправени пред сложна работна среда, в която ...
17 януари 2025

Руски кибершпиони са хванати да извършват Spear...

Изследователи на Microsoft са разкрили, че руски разузнавателни аге...
17 януари 2025

Cisco представи AI Defense

Тази седмица Cisco представи AI Defense – ново решение, предн...
17 януари 2025

DORA: Провеждане на тестове за проникване, осно...

Международният валутен фонд изчислява, че през последните две десет...
Бъдете социални
Още по темата
17/01/2025

Руски кибершпиони са хванат...

Изследователи на Microsoft са разкрили, че...
13/01/2025

Фишинг sms-и подвеждат пот...

Киберпрестъпниците използват трик за изключване на...
12/01/2025

Фалшиви интервюта за работа...

Киберпрестъпниците са възприели нова тактика, представяйки...
Последно добавени
19/01/2025

Нарушението на данните на W...

Адвокатската кантора Wolf Haldenstein Adler Freeman...
19/01/2025

САЩ призовават за преодоляв...

Агенцията за киберсигурност CISA и други...
19/01/2025

САЩ наложиха санкции за мас...

Министерството на финансите обяви в петък...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!