Se ha observado una nueva campa\u00f1a de phishing que entrega troyanos de acceso remoto (RAT) como VCURMS y STRRAT mediante un descargador malicioso basado en Java.<\/p>\n
“Los atacantes almacenaron malware en servicios p\u00fablicos como Amazon Web Services (AWS) y GitHub, empleando un protector comercial para evitar la detecci\u00f3n del malware”, dijo Yurren Wan, investigador de Fortinet FortiGuard Labs. dicho<\/a>.<\/p>\n Un aspecto inusual de la campa\u00f1a es el uso por parte de VCURMS de una direcci\u00f3n de correo electr\u00f3nico de Proton Mail (“sacriliage@proton[.]yo”) para comunicarse con un servidor de comando y control (C2).<\/p>\n La cadena de ataque comienza con un correo electr\u00f3nico de phishing que insta a los destinatarios a hacer clic en un bot\u00f3n para verificar la informaci\u00f3n de pago, lo que resulta en la descarga de un archivo JAR malicioso (“Payment-Advice.jar”) alojado en AWS.<\/p>\n La ejecuci\u00f3n del archivo JAR conduce a la recuperaci\u00f3n de dos archivos JAR m\u00e1s, que luego se ejecutan por separado para iniciar los troyanos gemelos.<\/p>\n Adem\u00e1s de enviar un correo electr\u00f3nico con el mensaje “Hola maestro, estoy en l\u00ednea” a la direcci\u00f3n controlada por el actor, VCURMS RAT revisa peri\u00f3dicamente el buz\u00f3n en busca de correos electr\u00f3nicos con l\u00edneas de asunto espec\u00edficas para extraer el comando que se ejecutar\u00e1 del cuerpo de la misiva.<\/p>\n Esto incluye ejecutar comandos arbitrarios usando cmd.exe, recopilar informaci\u00f3n del sistema, buscar y cargar archivos de inter\u00e9s y descargar m\u00f3dulos de registro de pulsaciones y ladrones de informaci\u00f3n adicional desde el mismo punto final de AWS.<\/p>\n El ladr\u00f3n de informaci\u00f3n viene equipado con capacidades para desviar datos confidenciales de aplicaciones como Discord y Steam, credenciales, cookies y datos de autocompletar de varios navegadores web, capturas de pantalla e informaci\u00f3n extensa de hardware y red sobre los hosts comprometidos.<\/p>\n Se dice que VCURMS comparte similitudes con otro ladr\u00f3n de informaci\u00f3n basado en Java con nombre en c\u00f3digo Ladr\u00f3n grosero<\/a>, que surgi\u00f3 en estado salvaje a fines del a\u00f1o pasado. STRRAT, por otro lado, se ha detectado en la naturaleza desde al menos 2020, a menudo propagado en forma de archivos JAR fraudulentos.<\/p>\n “STRAT es una RAT construida con Java, que tiene una amplia gama de capacidades, como servir como registrador de teclas y extraer credenciales de navegadores y aplicaciones”, se\u00f1al\u00f3 Wan.<\/p>\n La divulgaci\u00f3n se produce cuando Darktrace revel\u00f3 una novedosa campa\u00f1a de phishing que aprovecha los correos electr\u00f3nicos automatizados enviados desde el servicio de almacenamiento en la nube Dropbox a trav\u00e9s de “no-reply@dropbox”.[.]com” para propagar un enlace falso que imita la p\u00e1gina de inicio de sesi\u00f3n de Microsoft 365.<\/p>\n “El correo electr\u00f3nico conten\u00eda un enlace que llevar\u00eda al usuario a un archivo PDF alojado en Dropbox, que aparentemente llevaba el nombre de un socio de la organizaci\u00f3n”, dijo la empresa. dicho<\/a>. “el archivo PDF conten\u00eda un enlace sospechoso a un dominio que nunca antes se hab\u00eda visto en el entorno del cliente, ‘mmv-security[.]arriba.'”<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/03\/Alerta-Cibercriminales-implementan-troyanos-VCURMS-y-STRRAT-a-traves-de.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n