Một chiến dịch lừa đảo mới đã được quan sát thấy cung cấp các trojan truy cập từ xa (RAT) như VCURMS và STRRAT bằng trình tải xuống dựa trên Java độc hại.
"Những kẻ tấn công đã lưu trữ phần mềm độc hại trên các dịch vụ công cộng như Amazon Web Services (AWS) và GitHub, sử dụng một công cụ bảo vệ thương mại để tránh phát hiện phần mềm độc hại", nhà nghiên cứu Yurren Wan của Fortinet FortiGuard Labs cho biết.
Một khía cạnh bất thường của chiến dịch là việc VCURMS sử dụng địa chỉ email Proton Mail ("sacriliage@proton[.] tôi") để giao tiếp với máy chủ chỉ huy và kiểm soát (C2).
Chuỗi tấn công bắt đầu bằng một email lừa đảo kêu gọi người nhận nhấp vào nút để xác minh thông tin thanh toán, dẫn đến việc tải xuống tệp JAR độc hại ("Payment-Advice.jar") được lưu trữ trên AWS.
Thực thi tệp JAR dẫn đến việc truy xuất thêm hai tệp JAR, sau đó được chạy riêng để khởi chạy trojan đôi.
Bên cạnh việc gửi email với thông điệp "Hey master, I am online" đến địa chỉ do diễn viên kiểm soát, VCURMS RAT định kỳ kiểm tra hộp thư để tìm email có dòng chủ đề cụ thể để trích xuất lệnh được thực thi từ nội dung của bức thư.
Điều này bao gồm chạy các lệnh tùy ý bằng cách sử dụng cmd.exe, thu thập thông tin hệ thống, tìm kiếm và tải lên các tệp quan tâm, đồng thời tải xuống các mô-đun đánh cắp thông tin và keylogger bổ sung từ cùng một điểm cuối AWS.
Kẻ đánh cắp thông tin được trang bị khả năng hút dữ liệu nhạy cảm từ các ứng dụng như Discord và Steam, thông tin đăng nhập, cookie và dữ liệu tự động điền từ các trình duyệt web khác nhau, ảnh chụp màn hình và thông tin mạng và phần cứng mở rộng về các máy chủ bị xâm nhập.
VCURMS được cho là có những điểm tương đồng với một infostealer dựa trên Java khác có tên mã Rude Stealer, xuất hiện vào cuối năm ngoái. Mặt khác, STRAT đã được phát hiện trong tự nhiên ít nhất là từ năm 2020, thường được lan truyền dưới dạng các tệp JAR gian lận.
"STRRAT là một RAT được xây dựng bằng Java, có nhiều khả năng, chẳng hạn như phục vụ như một keylogger và trích xuất thông tin đăng nhập từ các trình duyệt và ứng dụng", Wan lưu ý.
Tiết lộ được đưa ra khi Darktrace tiết lộ một chiến dịch lừa đảo mới đang tận dụng các email tự động được gửi từ dịch vụ lưu trữ đám mây Dropbox thông qua "no-reply@dropbox[.] com" để tuyên truyền liên kết không có thật bắt chước trang đăng nhập Microsoft 365.
"Bản thân email chứa một liên kết sẽ dẫn người dùng đến một tệp PDF được lưu trữ trên Dropbox, dường như được đặt theo tên của một đối tác của tổ chức", công ty cho biết. "Tệp PDF chứa một liên kết đáng ngờ đến một tên miền chưa từng thấy trước đây trên môi trường của khách hàng, 'mmv-security [.] đỉnh.'"