Se ha observado una nueva campaña de phishing que entrega troyanos de acceso remoto (RAT) como VCURMS y STRRAT mediante un descargador malicioso basado en Java.
«Los atacantes almacenaron malware en servicios públicos como Amazon Web Services (AWS) y GitHub, empleando un protector comercial para evitar la detección del malware», dijo Yurren Wan, investigador de Fortinet FortiGuard Labs. dicho.
Un aspecto inusual de la campaña es el uso por parte de VCURMS de una dirección de correo electrónico de Proton Mail («sacriliage@proton[.]yo») para comunicarse con un servidor de comando y control (C2).
La cadena de ataque comienza con un correo electrónico de phishing que insta a los destinatarios a hacer clic en un botón para verificar la información de pago, lo que resulta en la descarga de un archivo JAR malicioso («Payment-Advice.jar») alojado en AWS.
La ejecución del archivo JAR conduce a la recuperación de dos archivos JAR más, que luego se ejecutan por separado para iniciar los troyanos gemelos.
Además de enviar un correo electrónico con el mensaje «Hola maestro, estoy en línea» a la dirección controlada por el actor, VCURMS RAT revisa periódicamente el buzón en busca de correos electrónicos con líneas de asunto específicas para extraer el comando que se ejecutará del cuerpo de la misiva.
Esto incluye ejecutar comandos arbitrarios usando cmd.exe, recopilar información del sistema, buscar y cargar archivos de interés y descargar módulos de registro de pulsaciones y ladrones de información adicional desde el mismo punto final de AWS.
El ladrón de información viene equipado con capacidades para desviar datos confidenciales de aplicaciones como Discord y Steam, credenciales, cookies y datos de autocompletar de varios navegadores web, capturas de pantalla e información extensa de hardware y red sobre los hosts comprometidos.
Se dice que VCURMS comparte similitudes con otro ladrón de información basado en Java con nombre en código Ladrón grosero, que surgió en estado salvaje a fines del año pasado. STRRAT, por otro lado, se ha detectado en la naturaleza desde al menos 2020, a menudo propagado en forma de archivos JAR fraudulentos.
«STRAT es una RAT construida con Java, que tiene una amplia gama de capacidades, como servir como registrador de teclas y extraer credenciales de navegadores y aplicaciones», señaló Wan.
La divulgación se produce cuando Darktrace reveló una novedosa campaña de phishing que aprovecha los correos electrónicos automatizados enviados desde el servicio de almacenamiento en la nube Dropbox a través de «no-reply@dropbox».[.]com» para propagar un enlace falso que imita la página de inicio de sesión de Microsoft 365.
«El correo electrónico contenía un enlace que llevaría al usuario a un archivo PDF alojado en Dropbox, que aparentemente llevaba el nombre de un socio de la organización», dijo la empresa. dicho. «el archivo PDF contenía un enlace sospechoso a un dominio que nunca antes se había visto en el entorno del cliente, ‘mmv-security[.]arriba.'»