Er is een nieuwe phishing-campagne waargenomen waarbij trojans voor externe toegang (RAT), zoals VCURMS en STRRAT, worden geleverd door middel van een kwaadaardige op Java gebaseerde downloader.
“De aanvallers bewaarden malware op openbare diensten zoals Amazon Web Services (AWS) en GitHub, waarbij ze een commerciële beschermer gebruikten om detectie van de malware te voorkomen”, aldus Fortinet FortiGuard Labs-onderzoeker Yurren Wan.
Een ongebruikelijk aspect van de campagne is het gebruik door VCURMS van een Proton Mail-e-mailadres (“sacrilage@proton[.]me”) voor communicatie met een command-and-control (C2)-server.
De aanvalsketen begint met een phishing-e-mail die de ontvangers aanspoort op een knop te klikken om de betalingsinformatie te verifiëren, wat resulteert in het downloaden van een kwaadaardig JAR-bestand (“Payment-Advice.jar”) dat wordt gehost op AWS.
Het uitvoeren van het JAR-bestand leidt tot het ophalen van nog twee JAR-bestanden, die vervolgens afzonderlijk worden uitgevoerd om de dubbele trojans te starten.
Naast het verzenden van een e-mail met het bericht “Hey meester, ik ben online” naar het door de acteur gecontroleerde adres, controleert VCURMS RAT periodiek de mailbox op e-mails met specifieke onderwerpregels om de uit te voeren opdracht uit de hoofdtekst van de missive te halen.
Dit omvat het uitvoeren van willekeurige opdrachten met behulp van cmd.exe, het verzamelen van systeeminformatie, het zoeken en uploaden van interessante bestanden, en het downloaden van aanvullende informatie-stealer- en keylogger-modules vanaf hetzelfde AWS-eindpunt.
De informatiedief is uitgerust met mogelijkheden om gevoelige gegevens uit apps als Discord en Steam, inloggegevens, cookies en automatisch ingevulde gegevens uit verschillende webbrowsers, schermafbeeldingen en uitgebreide hardware- en netwerkinformatie over de getroffen hosts over te hevelen.
Er wordt gezegd dat VCURMS overeenkomsten vertoont met een andere op Java gebaseerde infostealer met de codenaam Rude Stealer, die eind vorig jaar in het wild opdook. STRRAT daarentegen wordt in ieder geval sinds 2020 in het wild gedetecteerd, vaak verspreid in de vorm van frauduleuze JAR-bestanden.
“STRRAT is een RAT die is gebouwd met behulp van Java en die een breed scala aan mogelijkheden heeft, zoals dienen als keylogger en het extraheren van inloggegevens uit browsers en applicaties”, aldus Wan.
De onthulling komt op het moment dat Darktrace een nieuwe phishing-campagne onthulde die misbruik maakt van geautomatiseerde e-mails verzonden vanuit de Dropbox-cloudopslagservice via “no-reply@dropbox[.]com” om een valse link te verspreiden die de inlogpagina van Microsoft 365 nabootst.
“De e-mail zelf bevatte een link die een gebruiker naar een pdf-bestand zou leiden dat op Dropbox werd gehost en dat schijnbaar vernoemd was naar een partner van de organisatie”, aldus het bedrijf. “het pdf-bestand bevatte een verdachte link naar een domein dat nog nooit eerder in de omgeving van de klant was gezien, ‘mmv-security[.]bovenkant.'”
