【安全资讯】传播STRRAT木马的网络钓鱼活动
引言
研究人员发现了一场新的网络钓鱼活动,攻击者冒充全球航运业巨头马士基航运公司(Maersk Shipping),使用虚假的运输诱饵,在受害者设备上安装STRRAT远程访问木马。STRRAT是一种远程访问木马,可以窃取受害者信息甚至伪造勒索软件攻击。
简况
电子邮件伪装成马士基航运公司,看似包含有关装运、交货日期更改或虚假购买通知的信息,并包含一个 Excel 附件或伪装成发票相关的链接。如果收件人打开附加的文档,运行的宏代码则会将STRRAT恶意软件安装到受害者的机器上。活动中使用的示例网络钓鱼电子邮件如下:
攻击者使用 Allatori 工具对包含的软件包进行了混淆,以逃避安全产品的检测。STRRAT 感染首先解密配置文件,将恶意软件复制到新目录,然后添加新的 Windows 注册表项以实现持久性。
STRRAT 恶意软件首先收集主机系统的基本信息,例如架构和运行的防病毒工具,并检查本地存储和网络功能。STRRAT 可以执行以下操作:
- 记录用户击键
- 可以远程控制操作
- 从 Chrome、Firefox 和 Microsoft Edge 等浏览器窃取密码
- 从 Outlook、Thunderbird 和 Foxmail 等电子邮件客户端窃取密码
- 运行伪勒索软件模块以模拟感染
运行伪勒索软件模块以模拟感染一功能很有趣,因为在伪造的勒索软件攻击中并没有文件被加密。因此这一功能可能是为了用来转移受害者的注意力,使其忽略真正的问题,即数据泄露。
总结
STRRAT虽然不像一些更广为人知的木马那样著名,但也是一种强有力的威胁,企业需要时刻保持警惕以应对这种威胁。
失陷指标(IOC)4
这么重要的IOC情报,赶紧
登录
来看看吧~
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享