Μια μαζική εκστρατεία malware διένειμε το Java-based STRRAT RAT, που είναι γνωστό για τη δυνατότητά του να κλέβει δεδομένα και να «μεταμφιέζεται» σε ransomware. Στην πραγματικότητα όμως πρόκειται για ένα fake ransomware. Σε tweets που κοινοποίησε η ομάδα security intelligence της Microsoft, περιέγραψε πώς αυτή η μαζική εκστρατεία email διένειμε ψεύτικα ransomware payloads, χρησιμοποιώντας παραβιασμένους λογαριασμούς email.
Τα spam emails προέτρεπαν τους παραλήπτες να ανοίξουν αυτά που έμοιαζαν με συνημμένα PDF, αλλά στην πραγματικότητα ήταν εικόνες που κατέβαζαν το RAT malware όταν κάποιος έκανα κλικ πάνω σε αυτά.
Διαβάστε επίσης: Craig Federighi: Τα Mac είναι πιο ευάλωτα σε malware σε σχέση με τα iPhone
Η Microsoft ανέφερε στη σχετική της ανακοίνωση τα ακόλουθα: «Τα emails περιείχαν μια εικόνα που εμφανιζόταν ως συνημμένο PDF, αλλά, όταν άνοιγε, συνδεόταν με ένα κακόβουλο domain για το download του malware “STRRAT”. Αυτό το RAT είναι διαβόητο για το γεγονός ότι “συμπεριφέρεται” όπως το ransomware, προσαρτώντας την επέκταση ονόματος αρχείου .crimson σε αρχεία, χωρίς όμως να τα κρυπτογραφεί πραγματικά.»
Όπως ανέφερε η ομάδα της Microsoft στα tweets της, το malware “STRRAT” έχει σχεδιαστεί για να κάνει fake ransomware επίθεση, ενώ κλέβει τα δεδομένα των θυμάτων του στο παρασκήνιο.
Ο Karsten Hahn, αναλυτής malware στη G DATA, δήλωσε τον Ιούνιο του 2020 ότι το malware μολύνει συσκευές Windows μέσω κακόβουλων εκστρατειών email, προωθώντας κακόβουλα πακέτα JAR (Java ARchive) που διανείμουν RAT payload μετά από δύο στάδια VBScript scripts.
Το STRRAT καταγράφει πληκτρολογήσεις, επιτρέπει στους χειριστές του να εκτελούν απομακρυσμένα εντολές και κλέβει ευαίσθητα δεδομένα, συμπεριλαμβανομένων credentials από email clients και browsers, συμπεριλαμβανομένων των Firefox, Internet Explorer, Chrome, Foxmail, Outlook και Thunderbird.
Δείτε ακόμη: Teabot: Το νέο Android malware στοχεύει τράπεζες στην Ευρώπη!
Παρέχει επίσης στους εισβολείς απομακρυσμένη πρόσβαση στο μολυσμένο μηχάνημα, εγκαθιστώντας τη βιβλιοθήκη ανοιχτού κώδικα RDP Wrapper (RDPWrap), που επιτρέπει την υποστήριξη Remote Desktop Host σε παραβιασμένα συστήματα Windows.
Ωστόσο, αυτό που το κάνει να ξεχωρίζει από άλλα RATs είναι το ransomware module που δεν κρυπτογραφεί κανένα από τα αρχεία των θυμάτων, αλλά προσθέτει μόνο την επέκταση “.crimson” στα αρχεία.
Παρόλο που αυτό δεν εμποδίζει την πρόσβαση στo περιεχόμενo των αρχείων, ορισμένα θύματα ενδέχεται και πάλι να ξεγελαστούν και, ενδεχομένως, να δεχτούν να πληρώσουν λύτρα στους εισβολείς.
Πρόταση: Έξι ransomware συμμορίες έχουν «χτυπήσει» 292 οργανισμούς το 2021!
Ο Hahn επεσήμανε τα εξής: «Αυτό μπορεί να δουλέψει για εκβιασμό, επειδή τέτοια αρχεία δεν μπορούν να ανοίξουν πια με διπλό κλικ. Τα Windows συνδέουν το σωστό πρόγραμμα για το άνοιγμα αρχείων μέσω της επέκτασής τους. Εάν η επέκταση αφαιρεθεί, τα αρχεία μπορούν να ανοιχτούν ως συνήθως.»
Όπως διαπίστωσε η Microsoft κατά την ανάλυση της μαζικής εκστρατείας του STRRAT της προηγούμενης εβδομάδας, οι προγραμματιστές malware δεν σταμάτησαν να το βελτιώνουν, επεκτείνοντας τη modular αρχιτεκτονική του. Παρόλα αυτά, η κύρια λειτουργικότητα του RAT παρέμεινε ως επί το πλείστον ίδια, καθώς εξακολουθεί να χρησιμοποιείται για κλοπή credentials από email και browsers, εκτέλεση απομακρυσμένων εντολών ή PowerShell scripts, και καταγραφή των πληκτρολογήσεων των θυμάτων.
Πηγή πληροφοριών: bleepingcomputer.com
