Uma nova campanha de phishing foi observada entregando trojans de acesso remoto (RAT), como VCURMS e STRRAT, por meio de um downloader malicioso baseado em Java.
“Os invasores armazenaram malware em serviços públicos como Amazon Internet Companies (AWS) e GitHub, empregando um protetor comercial para evitar a detecção do malware”, disse Yurren Wan, pesquisador do Fortinet FortiGuard Labs.
Um aspecto incomum da campanha é o uso pelo VCURMS de um endereço de e-mail Proton Mail (“sacriliage@proton(.)me”) para comunicação com um servidor de comando e controle (C2).
A cadeia de ataque começa com um e-mail de phishing que incentiva os destinatários a clicar em um botão para verificar as informações de pagamento, resultando no obtain de um arquivo JAR malicioso (“Fee-Recommendation.jar”) hospedado na AWS.
A execução do arquivo JAR leva à recuperação de mais dois arquivos JAR, que são então executados separadamente para iniciar os trojans gêmeos.
Além de enviar um e-mail com a mensagem “Ei mestre, estou on-line” para o endereço controlado pelo ator, o VCURMS RAT verifica periodicamente a caixa de correio em busca de e-mails com assuntos específicos para extrair do corpo da missiva o comando a ser executado.
Isso inclui a execução de comandos arbitrários usando cmd.exe, coleta de informações do sistema, pesquisa e add de arquivos de interesse e obtain de módulos adicionais de roubo de informações e keylogger do mesmo endpoint da AWS.
O ladrão de informações vem equipado com recursos para desviar dados confidenciais de aplicativos como Discord e Steam, credenciais, cookies e dados de preenchimento automático de vários navegadores da internet, capturas de tela e extensas informações de {hardware} e rede sobre os hosts comprometidos.
Diz-se que o VCURMS compartilha semelhanças com outro infostealer baseado em Java, de codinome Impolite Stealer, que surgiu no closing do ano passado. O STRRAT, por outro lado, foi detectado à solta desde pelo menos 2020, muitas vezes propagado na forma de arquivos JAR fraudulentos.
“STRRAT é um RAT construído em Java, que possui uma ampla gama de recursos, como servir como keylogger e extrair credenciais de navegadores e aplicativos”, observou Wan.
A divulgação ocorre no momento em que a Darktrace revela uma nova campanha de phishing que aproveita e-mails automatizados enviados do serviço de armazenamento em nuvem Dropbox through “no-reply@dropbox(.)com” para propagar um hyperlink falso que imita a página de login do Microsoft 365.
“O próprio e-mail continha um hyperlink que levaria o usuário a um arquivo PDF hospedado no Dropbox, que aparentemente levava o nome de um parceiro da organização”, disse a empresa. “o arquivo PDF continha um hyperlink suspeito para um domínio que nunca havia sido visto anteriormente no ambiente do cliente, 'mmv-security(.)prime.'”
