Търсене
Close this search box.

Киберпрестъпници разгръщат троянците VCURMS и STRRAT чрез AWS и GitHub

Наблюдавана е нова фишинг кампания, която предоставя троянски коне за отдалечен достъп (RAT), като VCURMS и STRRAT, чрез зловреден Java-базиран даунлоудър.

„Нападателите са съхранявали зловреден софтуер в публични услуги като Amazon Web Services (AWS) и GitHub, като са използвали комерсиален протектор, за да избегнат откриването на зловредния софтуер“, заяви Юрен Уан, изследовател от Fortinet FortiGuard Labs.

Необичаен аспект на кампанията е използването от VCURMS на имейл адрес Proton Mail („sacriliage@proton[.]me“) за комуникация със сървър за командване и управление (C2).

Веригата от атаки започва с фишинг имейл, който призовава получателите да кликнат върху бутон за проверка на информацията за плащане, в резултат на което се изтегля злонамерен JAR файл („Payment-Advice.jar“), хостван в AWS.

Изпълнението на JAR файла води до извличането на още два JAR файла, които след това се изпълняват поотделно, за да стартират двойните троянски коне.

Освен че изпраща имейл със съобщението „Хей, господине, аз съм онлайн“ на адреса, контролиран от извършителите, VCURMS RAT периодично проверява пощенската кутия за имейли с определени редове на темата, за да извлече командата, която трябва да се изпълни, от тялото на съобщението.

Това включва изпълнение на произволни команди с помощта на cmd.exe, събиране на системна информация, търсене и качване на файлове, които представляват интерес, и изтегляне на допълнителни модули за кражба на информация и кийлогър от същата крайна точка на AWS.

Крадецът на информация е снабден с възможности за извличане на чувствителни данни от приложения като Discord и Steam, пълномощия, бисквитки и данни за автоматично попълване от различни уеб браузъри, снимки на екрани и обширна хардуерна и мрежова информация за компрометираните хостове.

Твърди се, че VCURMS има сходства с друг Java-базиран информационен крадец с кодово име Rude Stealer, който се появи в дивата природа в края на миналата година. STRRAT, от друга страна, е открит в дивата природа поне от 2020 г., като често се разпространява под формата на измамни JAR файлове.

„STRRAT е RAT, създаден с помощта на Java, който има широк спектър от възможности, като например да служи като кийлогър и да извлича идентификационни данни от браузъри и приложения“, отбеляза Уан.

Разкритието идва в момент, когато Darktrace разкри нова фишинг кампания, която се възползва от автоматизирани имейли, изпращани от услугата за съхранение в облака Dropbox чрез „no-reply@dropbox[.]com“, за да разпространи фалшива връзка, имитираща страницата за вход в Microsoft 365.

„Самото електронно писмо съдържаше връзка, която щеше да отведе потребителя до PDF файл, хостван в Dropbox, който привидно беше кръстен на партньор на организацията“, заявиха от компанията. „PDF файлът съдържаше подозрителна връзка към домейн, който никога преди това не е бил виждан в средата на клиента – „mmv-security[.]top“.

 

Източник: The Hacker News

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
12 април 2024

Глобиха AWS с над 1 млрд. лева

Съдебните заседатели установиха, че AWS е нарушила правата на собст...
12 април 2024

Magecart са пионери в областта на устойчивата з...

Печално известната киберпрестъпна организация, занимаваща се със ск...
11 април 2024

CISA нарежда на агенциите, засегнати от хакерск...

CISA издаде нова спешна директива, с която нарежда на федералните а...
Бъдете социални
Още по темата
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
05/04/2024

Секторът на нефта и газа е ...

Анализаторите откриват, че ефективната фишинг кампания...
02/04/2024

Google започна автоматично ...

Google започна автоматично да блокира имейли,...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!