Microsoft cảnh báo về malware đánh cắp dữ liệu ngụy trang là ransomware.



Microsoft đã cảnh báo về một “chiến dịch email qui mô lớn ” đang đẩy một STRRAT malware dựa trên Java để đánh cắp dữ liệu  mật từ các hệ thống bị lây nhiễm trong khi ngụy trang như là một trường hợp lây nhiễm ransomware.

“RAT này khét tiếng là vì hành vi giống như ransomware là gắn phần mở rộng tên tệp “.crimson” vào các tệp mà không thực sự mã hóa chúng”, nhóm Microsoft Security Intelligence cho biết trong một loạt các tweet.

Làn sóng tấn công mới, mà công ty phát hiện vào tuần trước, bắt đầu bằng các email rác được gửi từ các tài khoản email bị xâm nhập với “Outgoing Payments” trong dòng chủ đề, dụ người nhận mở các tài liệu PDF độc hại yêu cầu chuyển tiền, nhưng trên thực tế, kết nối với miền giả mạo để tải xuống STRRAT malware.

8 Immediate Steps to stop resurfaced Fake Response Malware

Bên cạnh việc thiết lập kết nối với command-and-control server trong quá trình thực thi, malware này còn đi kèm với một loạt tính năng cho phép nó thu thập mật khẩu trình duyệt, lần nhấn tổ hợp phím, chạy các lệnh từ xa và tập lệnh PowerShell.

STRRAT lần đầu tiên xuất hiện vào tháng 6 năm 2020, khi công ty an ninh mạng G Data của Đức quan sát Windows malware (phiên bản 1.2) trong các phishing email có chứa tệp đính kèm độc hại Jar (hoặc Java Archive).

Karsten Hahn, nhà phân tích malware của G Data, Karsten Hahn cho biết: “RAT tập trung vào việc đánh cắp thông tin đăng nhập của trình duyệt và ứng dụng email cũng như mật khẩu thông qua keylogging. “Nó hỗ trợ các trình duyệt và ứng dụng email sau: Firefox, Internet Explorer, Chrome, Foxmail, Outlook, Thunderbird.”

Khả năng ransomware của nó ở mức thô sơ và cơ bản nhất là giai đoạn “mã hóa” chỉ đổi tên các tệp bằng cách thêm đuôi “.crimson”. “Nếu phần mở rộng bị xóa, các tệp có thể được mở như bình thường”, Kahn nói thêm.

Microsoft cũng lưu ý rằng phiên bản 1.5 phức tạp hơn và có nhiều mô-đun hơn so với các phiên bản trước, cho thấy rằng những hacker đằng sau hoạt động này đang tích cực hoạt động để điều chỉnh bộ công cụ của chúng. Nhưng thực tế là hành vi mã hóa là giả vẫn không thay đổi dấu hiệu rằng nhóm này có thể đang nhắm đến việc kiếm tiền nhanh chóng từ những người dùng không hề nghi ngờ bằng cách tống tiền này.

nguồn: thehackernews



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật