24/05/21
Команда безопасности Microsoft предупредила о новой вредоносной кампании, в ходе которой злоумышленники распространяют троян для удаленного доступа (RAT) под названием STRRAT, похищающий данные с зараженных систем. Вредонос примечателен тем, что маскируется под вымогательское ПО.
Киберпреступники распространяют троян с помощью массовой рассылки спам-писем с вредоносным вложением. Электронные письма рассылаются со взломанных учетных записей. Вложения выглядят как PDF-документ, но при открытии соединяются с вредоносным доменом и загружают вредоносное ПО.
Впервые обнаруженный в июне 2020 года STRRAT является трояном для удаленного доступа, написанным на Java и выполняющим функции бэкдора на зараженной системе. Троян обладает широким спектром функций, начиная от кражи учетных данных и заканчивая вмешательством в локальные файлы.
STRRAT может выгружать и красть учетные данные из таких браузеров и почтовых клиентов, как Firefox, Internet Explorer, Chrome, Foxmail, Outlook и Thunderbird. Вредонос также запускает кастомную web-оболочку или команды PowerShell, получаемые с подконтрольного злоумышленникам сервера. Это позволяет им в любое время получать полный контроль над зараженным хостом. Если злоумышленники не хотят взаимодействовать с зараженным хостом через сервер-посредник, они могут использовать STRRAT для установки инструмента с открытым исходным кодом RDWrap, позволяющего подключаться к хосту через сеанс Remote Desktop Protocol (RDP).
Главной отличительной чертой STRRAT, как уже упоминалось, является функция шифрования. Тем не менее, все «шифрование» заключается только в переименовании файлов с добавлением расширения .crimson. Файл с таким расширением уже невозможно открыть, однако достаточно просто удалить расширение – и файл снова будет открываться.
