微软周四警告说,“大规模电子邮件运动”正在推动基于Java的STRRAT恶意软件从受感染系统中窃取机密数据,同时将自己伪装成勒索软件感染。
微软安全情报团队在一系列推文中说: “该RAT因其类似勒索软件的行为而臭名昭著,该行为是将文件扩展名.crimson附加到文件中而不实际对其进行加密。”
该公司上周发现了新一轮的攻击浪潮,首先是从受害电子邮件帐户发送主题行中带有“付款”的垃圾邮件,诱使收件人打开声称是汇款的恶意PDF文档,但实际上,连接到恶意域以下载STRRAT恶意软件。
除了在执行期间建立与命令和控制服务器的连接之外,该恶意软件还具有一系列功能,可使其收集浏览器密码,记录击键并运行远程命令和PowerShell脚本。
STRRAT首次出现在2020年6月的威胁领域,德国网络安全公司G Data在包含恶意Jar(或Java Archive)附件的网络钓鱼电子邮件中观察了Windows恶意软件(1.2版)。
“金鼠有一个专注于通过键盘记录盗取浏览器和电子邮件客户端和密码的凭据,” G数据的恶意软件分析师卡斯滕·哈恩详细说明。“它支持以下浏览器和电子邮件客户端:Firefox,Internet Explorer,Chrome,Foxmail,Outlook,Thunderbird。”
它的勒索软件功能最基本,因为“加密”阶段仅通过在文件后缀“ .crimson”后缀来重命名文件。卡恩补充说:“如果扩展名被删除,则可以照常打开文件。”
微软还指出,与以前的版本相比,版本1.5更具混淆性和模块化,这表明该操作背后的攻击者正在积极地改进其工具集。但是,虚假的加密行为保持不变这一事实表明,该组织可能正试图通过勒索手段从毫无戒心的用户身上赚钱。
与活动相关的危害指标(IoC)可以通过GitHub此处访问。
*编译:Domino
*来自:bleepingcomputer