Kötü niyetli bir Java tabanlı indirici aracılığıyla VCURMS ve STRRAT gibi uzaktan erişim truva atlarını (RAT) dağıtan yeni bir kimlik avı kampanyası gözlemlendi.
Fortinet FortiGuard Labs araştırmacısı Yurren Wan, “Saldırganlar kötü amaçlı yazılımları Amazon Web Services (AWS) ve GitHub gibi kamu hizmetlerinde depoladı ve kötü amaçlı yazılımın tespit edilmesini önlemek için ticari bir koruyucu kullandı.” dedi.
Kampanyanın alışılmadık bir yönü, VCURMS'in Proton Mail e-posta adresini (“sacriliage@proton) kullanmasıdır.[.]me”) bir komut ve kontrol (C2) sunucusuyla iletişim kurmak için.
Saldırı zinciri, alıcıları ödeme bilgilerini doğrulamak için bir düğmeye tıklamaya teşvik eden bir kimlik avı e-postasıyla başlar ve bunun sonucunda AWS'de barındırılan kötü amaçlı bir JAR dosyası (“Payment-Advice.jar”) indirilir.
JAR dosyasının çalıştırılması, iki JAR dosyasının daha alınmasına yol açar ve bunlar daha sonra ikiz truva atlarını başlatmak için ayrı ayrı çalıştırılır.
VCURMS RAT, aktör tarafından kontrol edilen adrese “Hey usta, çevrimiçiyim” mesajını içeren bir e-posta göndermenin yanı sıra, mektubun gövdesinden yürütülecek komutu çıkarmak için belirli konu satırlarına sahip e-postalar için posta kutusunu periyodik olarak kontrol eder.
Buna cmd.exe kullanarak rastgele komutlar çalıştırma, sistem bilgileri toplama, ilgilenilen dosyaları arama ve yükleme ve aynı AWS uç noktasından ek bilgi hırsızı ve keylogger modülleri indirme dahildir.
Bilgi hırsızı, Discord ve Steam gibi uygulamalardan hassas verileri, kimlik bilgilerini, çerezleri ve çeşitli web tarayıcılarından otomatik doldurma verilerini, ekran görüntülerini ve ele geçirilen ana bilgisayarlar hakkında kapsamlı donanım ve ağ bilgilerini çekme yetenekleriyle donatılmıştır.
VCURMS'in, geçen yılın sonlarında ortalıkta ortaya çıkan Rude Stealer kod adlı başka bir Java tabanlı bilgi hırsızıyla benzerlikler paylaştığı söyleniyor. Öte yandan STRRAT, en az 2020'den beri yaygın olarak tespit ediliyor ve çoğunlukla sahte JAR dosyaları şeklinde yayılıyor.
Wan, “STRRAT, Java kullanılarak oluşturulmuş ve keylogger olarak hizmet etmek ve tarayıcılardan ve uygulamalardan kimlik bilgilerini çıkarmak gibi çok çeşitli yeteneklere sahip bir RAT'tır” dedi.
Açıklama, Darktrace'in Dropbox bulut depolama hizmetinden “no-reply@dropbox” yoluyla gönderilen otomatik e-postalardan yararlanan yeni bir kimlik avı kampanyasını ortaya çıkarmasıyla geldi.[.]com” Microsoft 365 oturum açma sayfasını taklit eden sahte bir bağlantı yaymak için kullanılır.
Şirket, “E-postanın kendisi, kullanıcıyı Dropbox'ta barındırılan ve görünüşe göre adını kuruluşun bir ortağından alan bir PDF dosyasına yönlendirecek bir bağlantı içeriyordu” dedi. “PDF dosyası, müşterinin ortamında daha önce hiç görülmemiş bir alan adına şüpheli bir bağlantı içeriyordu: 'mmv-security[.]tepe.'”