Компания Microsoft предупредила об атаках малвари STRRAT, которая имитирует поведение шифровальщика, но на самом деле таковым не является.

STRRAT представляет собой троян удаленного доступа (RAT), написанный на Java и впервые замеченный в 2020 году. Малварь может действовать как бэкдор на зараженных хостах и ориентирована на кражу данных из зараженных систем. Согласно прошлогоднему техническому анализу немецкой ИБ-компании G DATA, данная малварь имеет широкий спектр функций, от кражи учетных данных до модификации локальных файлов.

К примеру, STRRAT способен похищать учетные данные из следующих браузеров и почтовых клиентов: Firefox, Internet Explorer, Chrome, Foxmail, Outlook и Thunderbird. Также вредонос может  выполнять кастомный шелл или PowerShell-команды, полученные от сервера хакеров. Это позволяет злоумышленникам получить полный контроль над зараженным хостом.

По данным Microsoft, в настоящее время вредонос массово распространяется в спамерских письмах, содержащих вредоносные вложения.

«Злоумышленники использовали взломанные учетные записи электронной почты для старта данной кампании. Электронные письма содержат изображения, которые замаскированы под вложения в формате PDF, но при попытке открыть их, происходит подключение к вредоносному домену для загрузки малвари STRRAT», — рассказали специалисты в сети твитов.

Схема заражения

Но главное отличие STRRAT от других RAT — фальшивый процесс шифрования файлов. Так, проникнув в систему,  малварь переименовывает файлы жертвы, добавляя  к ним расширение .crimson, но не шифрует их на самом деле, а лишь имитирует атаку вымогателя.

«Это по-прежнему можно использовать для вымогательства,  ведь такие файлы нельзя открыть обычным двойным кликом. Если удалить  [дополнительное] расширение, файлы можно будет открывать как обычно», — отмечали аналитики G DATA.

Тогда как в G DATA анализировали STRRAT версии 1.2, Microsoft заявляет, что наблюдает масштабную кампанию по распространению STRRAT версии 1.5, в которой по прежнему присутствует функциональность фальшивого шифровальщика. Также отмечается, что хакеры добавили вредоносу больше обфускации и расширили его модульную архитектуру.

Пользователям и компаниям, которые обнаруживают, что их файлы «зашифрованы» с использованием расширения .crimson, рекомендуется просто удалить это расширение. Однако это означает, что машина заражена STRRAT, а значит, для  устранения угрозы придется обратиться к специалисту по безопасности.

1 комментарий

  1. Аватар

    B4lTaZAR-QiTh1.0

    23.05.2021 в 12:49

    Это как-то тупо… зачем палить собственное присутствие? Или владельцы кода не смогли изъять шифровальный модуль? Но при этом наращивают функционал. 🤷

Оставить мнение