Campaña masiva de malware entrega ransomware falso

Una campaña masiva de malware impulsó al troyano de acceso remoto STRRAT basado en Java, conocido por sus capacidades de robo de datos y su capacidad para falsificar ataques de ransomware.

En una serie de tweets, el Equipo de inteligencia de seguridad de Microsoft ilustró cómo esta "campaña masiva de correo electrónico" difundió las cargas falsas del ransomware utilizando cuentas de correo electrónico comprometidas.

Los correos electrónicos no deseados atraían a los destinatarios para que abrieran lo que parecían ser archivos adjuntos en PDF, pero en cambio eran imágenes que descargaban malware RAT al hacer clic.

"Los correos electrónicos contenían una imagen que se hacía pasar por un archivo PDF adjunto pero, una vez abiertos, se conectaba a un dominio malicioso para descargar el malware STRRAT", dijo Microsoft.

"Esta RAT es famosa por su comportamiento similar al ransomware de agregar la extensión de nombre de archivo .crimson a los archivos sin cifrarlos realmente".

Como mencionó el equipo de inteligencia de seguridad de Microsoft en sus tweets, el malware STRRAT está diseñado para simular un ataque de ransomware mientras roba los datos de sus víctimas en segundo plano.

Karsten Hahn, analista de malware de G DATA declaró en junio de 2020 que el malware infecta los dispositivos Windows a través de campañas de correo electrónico que impulsan paquetes maliciosos de Java ARchive (JAR) que finalmente entregan la carga útil RAT después de pasar por dos etapas de scripts VBScript.

STRRAT registra las pulsaciones de teclas, permite a sus operadores ejecutar comandos de forma remota y recopila información confidencial, incluidas las credenciales de clientes de correo electrónico y navegadores, incluidos Firefox, Internet Explorer, Chrome, Foxmail, Outlook y Thunderbird.

También proporciona a los atacantes acceso remoto a la máquina infectada mediante la instalación de la biblioteca contenedora RDP de código abierto (RDPWrap), lo que permite el soporte de host de escritorio remoto en sistemas Windows comprometidos.

Sin embargo, lo que lo distingue de otras RAT es el módulo de ransomware que no cifra ninguno de los archivos de la víctima, sino que solo agrega la extensión ".crimson" a los archivos.

Si bien esto no bloquea el acceso al contenido de los archivos, algunas víctimas aún podrían ser engañadas y potencialmente sucumbir a las demandas de rescate de los atacantes.

"Esto todavía puede funcionar para la extorsión porque esos archivos ya no se pueden abrir haciendo doble clic", Hahn Ella dijo.

"Windows asocia el programa correcto para abrir archivos a través de su extensión. Si se elimina la extensión, los archivos se pueden abrir como de costumbre".

Como descubrió Microsoft al analizar la campaña STRRAT masiva de la semana pasada, los desarrolladores de malware no han dejado de mejorarla, agregando más ofuscación y expandiendo su arquitectura modular.

Sin embargo, la principal funcionalidad de la RAT permaneció casi intacto, ya que todavía se usa para robar las credenciales del navegador y del cliente de correo electrónico, ejecutar comandos remotos o scripts de PowerShell y registrar las pulsaciones de teclas de las víctimas.