Замечена новая фишинговая кампания по доставке троянов удаленного доступа (RAT), таких как VCURMS и STRRAT, посредством вредоносного загрузчика на базе Java.
"Злоумышленники хранили вредоносное ПО в общедоступных сервисах, таких как Amazon Web Services (AWS) и GitHub, используя коммерческую защиту, чтобы избежать обнаружения вредоносного ПО", - сказал исследователь FortiGuard Labs от Fortinet Юррен Ван.
Необычным аспектом кампании является использование VCURMS адреса электронной почты Proton Mail ("sacriliage@proton[.]me") для связи с сервером командования и контроля (C2).
Цепочка атак начинается с фишингового электронного письма, в котором получателям предлагается нажать на кнопку для проверки платежной информации, в результате чего загружается вредоносный JAR-файл ("Payment-Advice.jar"), размещенный на AWS.
Выполнение файла JAR приводит к извлечению еще двух файлов JAR, которые затем запускаются отдельно для запуска троянов-близнецов.
Помимо отправки электронного письма с сообщением "Привет, мастер, я онлайн" на адрес, контролируемый участником, VCURMS RAT периодически проверяет почтовый ящик на наличие электронных писем с определенными строками темы, чтобы извлечь команду для выполнения из тела сообщения.
Сюда входит выполнение произвольных команд с помощью cmd.exe, сбор системной информации, поиск и загрузка интересующих файлов, а также загрузка дополнительных модулей для кражи информации и кейлоггера с той же конечной точки AWS.
Программа для кражи информации оснащена возможностями для перекачки конфиденциальных данных из таких приложений, как Discord и Steam, учетных данных, файлов cookie и данных автозаполнения из различных веб-браузеров, скриншотов и обширной информации об оборудовании и сети взломанных хостов.
Говорят, что VCURMS имеет сходство с другим инфостилером на базе Java под кодовым названием Rude Stealer, который появился в дикой природе в конце прошлого года. STRRAT, с другой стороны, был обнаружен в дикой природе по крайней мере с 2020 года, часто распространяется в виде мошеннических файлов JAR.
"STRRAT - это RAT, созданный с использованием Java, который обладает широким спектром возможностей, таких как кейлоггер и извлечение учетных данных из браузеров и приложений", - отметил Ван.
Раскрытие произошло после того, как Darktrace раскрыла новую фишинговую кампанию, которая использует автоматизированные электронные письма, отправляемые из облачного хранилища Dropbox через "no-reply @dropbox [.]com" для распространения поддельной ссылки, имитирующей страницу входа в Microsoft 365.
"Само электронное письмо содержало ссылку, которая приводила пользователя к PDF-файлу, размещенному в Dropbox, который, по-видимому, был назван в честь партнера организации", - сказали в компании. "файл PDF содержал подозрительную ссылку на домен, который ранее никогда не появлялся в среде заказчика, "mmv-security[.]top".
