Καμπάνια phishing που βασίζεται σε Java δημιουργεί RATs VCURMS και STRRAT
Εντοπίστηκε πρόσφατα μία εκστρατεία phishing που δημιουργεί trojans απομακρυσμένης πρόσβασης (RAT) όπως το VCURMS και το STRRAT, χρησιμοποιώντας κακόβουλο λογισμικό για λήψη, βασισμένο σε Java.
Σύμφωνα με τον ερευνητή Yurren Wan από το Fortinet FortiGuard Labs, οι εισβολείς αξιοποίησαν δημόσιες πλατφόρμες όπως το Amazon Web Services (AWS) και το GitHub για την αποθήκευση κακόβουλου λογισμικού, χρησιμοποιώντας εμπορικό προστατευτικό για να αποφύγουν τον εντοπισμό.
Μια ενδιαφέρουσα πλευρά αυτής της εκστρατείας είναι η αξιοποίηση από το VCURMS της διεύθυνσης του Proton Mail (“sacriliage@proton[.]me”) για την επικοινωνία με έναν διακομιστή εντολών και ελέγχου (C2). Η επίθεση αρχίζει με ένα αναγεννητικό email που καλεί τους παραλήπτες να κάνουν κλικ σε ένα κουμπί για να επιβεβαιώσουν τα στοιχεία πληρωμής, με αποτέλεσμα τη λήψη ενός κακόβουλου αρχείου JAR (“Payment-Advice.jar”) που φιλοξενείται στο AWS. Η εκτέλεση αυτού του αρχείου οδηγεί στη λήψη δύο επιπλέον κακόβουλων αρχείων JAR, τα οποία, στη συνέχεια, απελευθερώνουν twin trojans.
Το VCURMS RAT στέλνει τακτικά emails στη διεύθυνση που ελέγχεται από τον ηθοποιό με το μήνυμα “Hey Master, I am online”. Αναζητά ειδικές γραμμές θέματος για να εξάγει εντολές εκτέλεσης, περιλαμβάνοντας την εκτέλεση εντολών με το cmd.exe, συλλογή πληροφοριών συστήματος, αναζήτηση και μεταφόρτωση αρχείων και λήψη λειτουργικών μονάδων από το AWS. Αυτή η μονάδα κλοπής πληροφοριών μπορεί να εξάγει δεδομένα από εφαρμογές όπως το Discord και το Steam, διαπιστευτήρια προγράμματος περιήγησης, cookies, στιγμιότυπα οθόνης, καθώς και λεπτομερείς πληροφορίες σχετικά με το hardware και το δίκτυο.
Το VCURMS φαίνεται να μοιάζει με το κακόβουλο λογισμικό κλοπής πληροφοριών Rude Stealer, το οποίο βασίζεται επίσης σε Java. Από την άλλη πλευρά, το STRRAT, που εντοπίζεται τουλάχιστον από το 2020, γνωστοποιείται για την ικανότητά του να καταγράφει τα πλήκτρα πληκτρολογίου και να ανακτά διαπιστευτήρια από προγράμματα περιήγησης και εφαρμογές.
Κατά τη διάρκεια μιας εξαιρετικής περίπτωσης, αποκαλύφθηκε μια νέα επίθεση phishing που εκμεταλλεύεται αυτόματα μηνύματα ηλεκτρονικού ταχυδρομείου από το Dropbox, τα οποία αποστέλλονται από το “no-reply@dropbox[.]com”, οδηγώντας σε μια πλαστή σελίδα σύνδεσης προς το Microsoft 365. Το email περιλαμβάνει έναν σύνδεσμο προς ένα PDF αρχείο στο Dropbox, που φέρει το όνομα ενός συνεργάτη του οργανισμού. Αυτός ο σύνδεσμος οδηγεί σε μια ιστοσελίδα, “mmv-security[.]top”, η οποία δεν είχε προηγουμένως εντοπιστεί στο περιβάλλον του πελάτη
