Une nouvelle campagne de phishing a été observée délivrant des chevaux de Troie d’accès à distance (RAT) tels que VCURMS et STRRAT au moyen d’un téléchargeur malveillant basé sur Java.
« Les attaquants ont stocké des logiciels malveillants sur des services publics comme Amazon Web Services (AWS) et GitHub, en utilisant un protecteur commercial pour éviter la détection du logiciel malveillant », a déclaré Yurren Wan, chercheur chez Fortinet FortiGuard Labs. dit.
Un aspect inhabituel de la campagne est l’utilisation par VCURMS d’une adresse e-mail Proton Mail (« sacriliage@proton[.]me ») pour communiquer avec un serveur de commande et de contrôle (C2).
La chaîne d’attaque commence par un e-mail de phishing invitant les destinataires à cliquer sur un bouton pour vérifier les informations de paiement, entraînant le téléchargement d’un fichier JAR malveillant (« Payment-Advice.jar ») hébergé sur AWS.
L’exécution du fichier JAR entraîne la récupération de deux fichiers JAR supplémentaires, qui sont ensuite exécutés séparément pour lancer les chevaux de Troie jumeaux.
En plus d’envoyer un e-mail avec le message « Hey maître, je suis en ligne » à l’adresse contrôlée par l’acteur, VCURMS RAT vérifie périodiquement dans la boîte aux lettres les e-mails avec des lignes d’objet spécifiques pour extraire la commande à exécuter du corps de la missive.
Cela inclut l’exécution de commandes arbitraires à l’aide de cmd.exe, la collecte d’informations système, la recherche et le téléchargement de fichiers d’intérêt, ainsi que le téléchargement de modules de vol d’informations et d’enregistreur de frappe supplémentaires à partir du même point de terminaison AWS.
Le voleur d’informations est doté de capacités permettant de siphonner les données sensibles d’applications telles que Discord et Steam, les informations d’identification, les cookies et les données de remplissage automatique de divers navigateurs Web, des captures d’écran et des informations détaillées sur le matériel et le réseau sur les hôtes compromis.
VCURMS partagerait des similitudes avec un autre voleur d’informations basé sur Java nommé Voleur grossier, qui a émergé à l’état sauvage à la fin de l’année dernière. STRRAT, en revanche, est détecté dans la nature depuis au moins 2020, souvent propagé sous la forme de fichiers JAR frauduleux.
« STRRAT est un RAT construit à l’aide de Java, qui possède un large éventail de fonctionnalités, telles que servir d’enregistreur de frappe et extraire les informations d’identification des navigateurs et des applications », a noté Wan.
Cette divulgation intervient alors que Darktrace a révélé une nouvelle campagne de phishing qui tire parti des e-mails automatisés envoyés depuis le service de stockage cloud Dropbox via « no-reply@dropbox ».[.]com » pour propager un faux lien imitant la page de connexion de Microsoft 365.
« L’e-mail lui-même contenait un lien qui mènerait un utilisateur vers un fichier PDF hébergé sur Dropbox, qui portait apparemment le nom d’un partenaire de l’organisation », a expliqué la société. dit. « le fichier PDF contenait un lien suspect vers un domaine qui n’avait jamais été vu auparavant sur l’environnement du client, ‘mmv-security[.]haut.' »