Хакеры массово рассылают спам с трояном, маскирующимся под вымогательское ПО

Пт 21 Май 2021 14:50

Команда безопасности Microsoft предупредила о новой вредоносной кампании, в ходе которой злоумышленники распространяют троян для удаленного доступа (RAT) под названием STRRAT, похищающий данные с зараженных систем. Вредонос примечателен тем, что маскируется под вымогательское ПО.

Киберпреступники распространяют троян с помощью массовой рассылки спам-писем с вредоносным вложением. Электронные письма рассылаются со взломанных учетных записей. Вложения выглядят как PDF-документ, но при открытии соединяются с вредоносным доменом и загружают вредоносное ПО.

Впервые обнаруженный в июне 2020 года STRRAT является трояном для удаленного доступа, написанным на Java и выполняющим функции бэкдора на зараженной системе. Троян обладает широким спектром функций, начиная от кражи учетных данных и заканчивая вмешательством в локальные файлы.

STRRAT может выгружать и красть учетные данные из таких браузеров и почтовых клиентов, как Firefox, Internet Explorer, Chrome, Foxmail, Outlook и Thunderbird. Вредонос также запускает кастомную web-оболочку или команды PowerShell, получаемые с подконтрольного злоумышленникам сервера. Это позволяет им в любое время получать полный контроль над зараженным хостом. Если злоумышленники не хотят взаимодействовать с зараженным хостом через сервер-посредник, они могут использовать STRRAT для установки инструмента с открытым исходным кодом RDWrap, позволяющего подключаться к хосту через сеанс Remote Desktop Protocol (RDP).

Главной отличительной чертой STRRAT, как уже упоминалось, является функция шифрования. Тем не менее, все «шифрование» заключается только в переименовании файлов с добавлением расширения .crimson. Файл с таким расширением уже невозможно открыть, однако достаточно просто удалить расширение – и файл снова будет открываться.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 132 дня 12 часов 24 минуты 7 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.