Наблюдавана е нова фишинг кампания, която предоставя троянски коне за отдалечен достъп (RAT), като VCURMS и STRRAT, чрез зловреден Java-базиран даунлоудър.
„Нападателите са съхранявали зловреден софтуер в публични услуги като Amazon Web Services (AWS) и GitHub, като са използвали комерсиален протектор, за да избегнат откриването на зловредния софтуер“, заяви Юрен Уан, изследовател от Fortinet FortiGuard Labs.
Необичаен аспект на кампанията е използването от VCURMS на имейл адрес Proton Mail („sacriliage@proton[.]me“) за комуникация със сървър за командване и управление (C2).
Веригата от атаки започва с фишинг имейл, който призовава получателите да кликнат върху бутон за проверка на информацията за плащане, в резултат на което се изтегля злонамерен JAR файл („Payment-Advice.jar“), хостван в AWS.
Изпълнението на JAR файла води до извличането на още два JAR файла, които след това се изпълняват поотделно, за да стартират двойните троянски коне.
Освен че изпраща имейл със съобщението „Хей, господине, аз съм онлайн“ на адреса, контролиран от извършителите, VCURMS RAT периодично проверява пощенската кутия за имейли с определени редове на темата, за да извлече командата, която трябва да се изпълни, от тялото на съобщението.
Това включва изпълнение на произволни команди с помощта на cmd.exe, събиране на системна информация, търсене и качване на файлове, които представляват интерес, и изтегляне на допълнителни модули за кражба на информация и кийлогър от същата крайна точка на AWS.
Крадецът на информация е снабден с възможности за извличане на чувствителни данни от приложения като Discord и Steam, пълномощия, бисквитки и данни за автоматично попълване от различни уеб браузъри, снимки на екрани и обширна хардуерна и мрежова информация за компрометираните хостове.
Твърди се, че VCURMS има сходства с друг Java-базиран информационен крадец с кодово име Rude Stealer, който се появи в дивата природа в края на миналата година. STRRAT, от друга страна, е открит в дивата природа поне от 2020 г., като често се разпространява под формата на измамни JAR файлове.
„STRRAT е RAT, създаден с помощта на Java, който има широк спектър от възможности, като например да служи като кийлогър и да извлича идентификационни данни от браузъри и приложения“, отбеляза Уан.
Разкритието идва в момент, когато Darktrace разкри нова фишинг кампания, която се възползва от автоматизирани имейли, изпращани от услугата за съхранение в облака Dropbox чрез „no-reply@dropbox[.]com“, за да разпространи фалшива връзка, имитираща страницата за вход в Microsoft 365.
„Самото електронно писмо съдържаше връзка, която щеше да отведе потребителя до PDF файл, хостван в Dropbox, който привидно беше кръстен на партньор на организацията“, заявиха от компанията. „PDF файлът съдържаше подозрителна връзка към домейн, който никога преди това не е бил виждан в средата на клиента – „mmv-security[.]top“.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.