Uma nova campanha de phishing foi observada entregando trojans de acesso remoto (RAT) como VCURMS e STRRAT por meio de um downloader malicioso baseado em Java.
"Os invasores armazenaram malware em serviços públicos como Amazon Web Services (AWS) e GitHub, utilizando um protetor comercial para evitar a detecção do malware", disse o pesquisador da Fortinet FortiGuard Labs, Yurren Wan.
Um aspecto incomum da campanha é o uso de um endereço de e-mail Proton Mail pelo VCURMS ("sacriliage@proton[.]me") para se comunicar com um servidor de comando-e-controle (C2).
A cadeia de ataque começa com um e-mail de phishing que incentiva os destinatários a clicar em um botão para verificar as informações de pagamento, resultando no download de um arquivo JAR malicioso ("Payment-Advice.jar") hospedado na AWS.
Executar o arquivo JAR leva à recuperação de outros dois arquivos JAR, que são então executados separadamente para iniciar os dois trojans.
Além de enviar um e-mail com a mensagem "Hey mestre, estou online" para o endereço controlado pelo ator, o RAT VCURMS verifica periodicamente a caixa de e-mail por e-mails com linhas de assunto específicas para extrair o comando a ser executado do corpo da missiva.
Isso inclui rodar comandos arbitrários usando o cmd.exe, coletar informações do sistema, buscar e fazer upload de arquivos de interesse e baixar informações adicionais para roubo de informações e módulos de keylogger a partir do mesmo ponto final da AWS.
O ladrão de informações vem equipado com capacidades para sugar dados sensíveis de aplicativos como Discord e Steam, credenciais, cookies e dados de preenchimento automático de vários navegadores web, capturas de tela e extensa informação de hardware e rede sobre os hosts comprometidos.
Diz-se que o VCURMS compartilha semelhanças com outro ladrão de informações baseado em Java codinome Rude Stealer, que surgiu na natureza no final do ano passado.
O STRRAT, por outro lado, foi detectado no ambiente selvagem desde pelo menos 2020, muitas vezes propagado na forma de arquivos JAR fraudulentos.
"STRRAT é um RAT construído em Java, que tem uma grande variedade de capacidades, como servir como um keylogger e extrair credenciais de navegadores e aplicativos", observou Wan.
A revelação surge quando a Darktrace revelou uma nova campanha de phishing que está se aproveitando de e-mails automáticos enviados a partir do serviço de armazenamento em nuvem Dropbox via "no-reply@dropbox[.]com" para propagar um link falso imitando a página de login do Microsoft 365.
"O próprio e-mail continha um link que levava um usuário para um arquivo PDF hospedado no Dropbox, que aparentemente tinha sido nomeado após um parceiro da organização", disse a empresa.
"o arquivo PDF continha um link suspeito para um domínio que nunca havia sido previamente visto no ambiente do cliente, 'mmv-security[.]top.'"
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...