Alerta: Cibercriminosos estão implementando os trojans VCURMS e STRRAT através da AWS e do GitHub
13 de Março de 2024

Uma nova campanha de phishing foi observada entregando trojans de acesso remoto (RAT) como VCURMS e STRRAT por meio de um downloader malicioso baseado em Java.

"Os invasores armazenaram malware em serviços públicos como Amazon Web Services (AWS) e GitHub, utilizando um protetor comercial para evitar a detecção do malware", disse o pesquisador da Fortinet FortiGuard Labs, Yurren Wan.

Um aspecto incomum da campanha é o uso de um endereço de e-mail Proton Mail pelo VCURMS ("sacriliage@proton[.]me") para se comunicar com um servidor de comando-e-controle (C2).

A cadeia de ataque começa com um e-mail de phishing que incentiva os destinatários a clicar em um botão para verificar as informações de pagamento, resultando no download de um arquivo JAR malicioso ("Payment-Advice.jar") hospedado na AWS.

Executar o arquivo JAR leva à recuperação de outros dois arquivos JAR, que são então executados separadamente para iniciar os dois trojans.

Além de enviar um e-mail com a mensagem "Hey mestre, estou online" para o endereço controlado pelo ator, o RAT VCURMS verifica periodicamente a caixa de e-mail por e-mails com linhas de assunto específicas para extrair o comando a ser executado do corpo da missiva.

Isso inclui rodar comandos arbitrários usando o cmd.exe, coletar informações do sistema, buscar e fazer upload de arquivos de interesse e baixar informações adicionais para roubo de informações e módulos de keylogger a partir do mesmo ponto final da AWS.

O ladrão de informações vem equipado com capacidades para sugar dados sensíveis de aplicativos como Discord e Steam, credenciais, cookies e dados de preenchimento automático de vários navegadores web, capturas de tela e extensa informação de hardware e rede sobre os hosts comprometidos.

Diz-se que o VCURMS compartilha semelhanças com outro ladrão de informações baseado em Java codinome Rude Stealer, que surgiu na natureza no final do ano passado.

O STRRAT, por outro lado, foi detectado no ambiente selvagem desde pelo menos 2020, muitas vezes propagado na forma de arquivos JAR fraudulentos.

"STRRAT é um RAT construído em Java, que tem uma grande variedade de capacidades, como servir como um keylogger e extrair credenciais de navegadores e aplicativos", observou Wan.

A revelação surge quando a Darktrace revelou uma nova campanha de phishing que está se aproveitando de e-mails automáticos enviados a partir do serviço de armazenamento em nuvem Dropbox via "no-reply@dropbox[.]com" para propagar um link falso imitando a página de login do Microsoft 365.

"O próprio e-mail continha um link que levava um usuário para um arquivo PDF hospedado no Dropbox, que aparentemente tinha sido nomeado após um parceiro da organização", disse a empresa.

"o arquivo PDF continha um link suspeito para um domínio que nunca havia sido previamente visto no ambiente do cliente, 'mmv-security[.]top.'"

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...