El phishing se hace pasar por el gigante naviero Maersk para impulsar el malware STRRAT

Una nueva campaña de phishing que utiliza señuelos de entrega de envíos falsos instala el troyano de acceso remoto STRRAT en los dispositivos de las víctimas desprevenidas.

Fortinet descubrió la nueva campaña después de detectar correos electrónicos de phishing que se hacían pasar por Maersk Shipping, un gigante en la industria del transporte marítimo mundial, y que usaban direcciones de correo electrónico aparentemente legítimas.

Si el destinatario abre el documento adjunto, el código de macro que se ejecuta recupera el malware STRRAT en su máquina, un poderoso troyano de acceso remoto que puede robar información e incluso falsificar ataques de ransomware.

Hacerse pasar por correos electrónicos de envío de Maersk

Como se ve en la información del encabezado de los correos electrónicos de phishing, los mensajes se enrutan a través de dominios registrados recientemente que aumentan el riesgo de que las soluciones de seguridad del correo electrónico los marquen.

El correo electrónico pretende ser información sobre un envío, cambios en las fechas de entrega o avisos sobre una compra ficticia e incluye un archivo adjunto de Excel o enlaces a uno que pretende ser la factura relacionada.

En algunos casos, los analistas de Fortinet tomaron muestras de correos electrónicos que contenían archivos ZIP que contenían el malware SRRAT, por lo que no se utilizó un cuentagotas intermedio en forma de documento.

Los actores ofuscaron los paquetes contenidos utilizando la herramienta Allatori para evadir la detección de los productos de seguridad.

La infección STRRAT comienza descifrando el archivo de configuración, copiando el malware en un nuevo directorio y agregando nuevas entradas de registro de Windows para persistencia.

La amenaza SSTRAT

El malware STRRAT primero recopila información básica sobre el sistema host, como la arquitectura y las herramientas antivirus que se ejecutan en él, y verifica el almacenamiento local y la capacidad de la red.

En términos de su funcionalidad, STRRAT puede realizar lo siguiente:

• Registrar pulsaciones de teclas del usuario
• Facilitar la operación de control remoto
• Obtenga contraseñas de navegadores web como Chrome, Firefox y Microsoft Edge
• Robar contraseñas de clientes de correo electrónico como Outlook, Thunderbird y Foxmail
• Ejecute un módulo de pseudo-ransomware para simular una infección

Esta última parte es interesante porque no se cifran archivos en el ataque falso de ransomware. Como tal, lo más probable es que se use para desviar la atención de la víctima del problema real, que es la exfiltración de datos.

Sin embargo, teniendo en cuenta que este módulo esencialmente hace volar la tapadera de STRRAT, su presencia y despliegue es algo contradictorio.

Finalmente, el método de comunicación del malware tampoco está muy bien optimizado para el sigilo.

“Examinar ese tráfico en Wireshark muestra que STRRAT es excepcionalmente ruidoso. Esto probablemente se deba a que el canal C2 estaba desconectado en el momento de la investigación”, explica el informe de Fortinet.

"En su esfuerzo por obtener más instrucciones, la muestra intenta comunicarse a través de los puertos 1780 y 1788 en intervalos de un segundo, si no más en algunos casos".

Los troyanos como STRRAT a menudo se ignoran por ser menos sofisticados y se implementan de forma más aleatoria. Sin embargo, esta campaña de phishing demuestra que las amenazas menores en circulación aún pueden asestar golpes dañinos a las empresas.

Los correos electrónicos de phishing utilizados en esta campaña se mezclan de manera muy homogénea con las comunicaciones corporativas del día a día en las empresas que se ocupan de los envíos y el transporte, por lo que solo se necesita un empleado cansado o descuidado para que se produzca el daño.