Фишинг выдает себя за судоходного гиганта Maersk для распространения вредоносной программы STRRAT

6
Агентства по кибербезопасности раскрывают основные векторы атак с первоначальным доступом

Новая фишинговая кампания, использующая поддельные заманухи для доставки грузов, устанавливает троян STRRAT для удаленного доступа на устройства ничего не подозревающих жертв.

Компания Fortinet обнаружила новую кампанию после обнаружения фишинговых писем, выдающих себя за Maersk Shipping, гиганта мировой судоходной отрасли, и использующих, казалось бы, легитимные адреса электронной почты.

Если получатель открывает вложенный документ, запущенный макрокод забрасывает на его компьютер вредоносную программу STRRAT — мощный троян для удаленного доступа, который может похищать информацию и даже инсценировать атаки с целью выкупа.

Электронные письма, выдающие себя за отправителей Maersk

Как видно из заголовка фишинговых писем, сообщения направляются через недавно зарегистрированные домены, что повышает риск их обнаружения решениями для защиты электронной почты.

В письме утверждается, что это информация об отгрузке, изменениях в датах доставки или уведомлениях о фиктивной покупке, и содержится вложение в формате Excel или ссылка на него, выдаваемая за соответствующий счет-фактуру.

В некоторых случаях аналитики Fortinet отобрали электронные письма, содержащие ZIP-файлы с вредоносным ПО STRRAT, поэтому промежуточный дроппер в виде документа не использовался.

Действующие лица обфусцировали содержащиеся пакеты с помощью инструмента Allatori, чтобы избежать обнаружения продуктами безопасности.

Заражение STRRAT начинается с расшифровки конфигурационного файла, копирования вредоносной программы в новый каталог и добавления новых записей в реестр Windows для сохранения.

Угроза STRRAT

Вредоносная программа STRRAT сначала собирает базовую информацию о хост-системе, например, об архитектуре и любых запущенных на ней антивирусных инструментах, а также проверяет возможности локального хранилища и сети.

С точки зрения своей функциональности STRRAT может выполнять следующее:

  • Журнал нажатий клавиш пользователем
  • Облегчение работы с дистанционным управлением
  • Получите пароли из веб-браузеров, таких как Chrome, Firefox и Microsoft Edge.
  • Украсть пароли из почтовых клиентов, таких как Outlook, Thunderbird и Foxmail.
  • Запустите модуль псевдо-вымогателя, чтобы имитировать заражение

Эта последняя часть интересна тем, что при атаке поддельной программы-вымогателя никакие файлы не шифруются. Таким образом, он, скорее всего, используется для отвлечения внимания жертвы от реальной проблемы, которая заключается в краже данных.

Наконец, метод связи вредоносного ПО также не очень хорошо оптимизирован для скрытности.

«Изучение этого трафика в Wireshark показывает, что STRRAT исключительно шумный. Вероятно, это связано с тем, что на момент расследования канал C2 был отключен», — поясняется в отчете Fortinet.

«Пытаясь получить дальнейшие инструкции, образец пытается установить связь через порты 1780 и 1788 с интервалом в одну секунду, а в некоторых случаях и больше».

Такие трояны, как STRRAT, часто игнорируются из-за того, что они менее сложны и развертываются более случайным образом. Тем не менее, эта фишинговая кампания демонстрирует, что меньшие угрозы, находящиеся в обращении, все же могут нанести компаниям разрушительный удар.

Фишинговые электронные письма, использованные в этой кампании, очень органично сочетаются с повседневными корпоративными коммуникациями в компаниях, занимающихся поставками и транспортировкой, поэтому достаточно лишь усталого или небрежного сотрудника, чтобы нанести ущерб.

Последнее обновление 8 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии