.CRIMSON Ransomware enviado com o Java STRRAT para roubar credenciais da conta

Notícias recentes sobre malware descobriram uma variedade de malware chamada STRRAT que é fornecida com o módulo de ransomware .CRIMSON . O STRRAT não é o único malware a divulgar as notícias, uma vez que os pesquisadores de segurança também encontraram uma nova ameaça que modifica o cliente Discord para Windows para roubar credenciais de conta e uma nova família de malware proveniente de um ator de ameaças anteriormente desconhecido.

O que é o STRRAT e o módulo .CRIMSON?

Os pesquisadores da G Data Solutions notaram a infecção pelo STRRAT começando com emails de spam. O email chegou com o anexo 'NEW ORDER.jar.' Quando o anexo é aberto, ele revela uma responsabilidade descartada pela recuperação de um VBScript, salva com o nome 'bqhoonmpho.vbs'. A cadeia de caracteres utilizou o PowerShell para substituir caracteres. Ele também baixa o Java Runtime Environment para infectar máquinas nas quais o Java não foi instalado.

A análise da carga útil .jar gravada pelo VBScript em "% APPDATA% \ ntfsmgr.jar mostra um pacote strpayload. O método" F "na classe strpayload.r foi responsável por criar o fluxo de dados sobre o sistema infectado. Após a análise, os pesquisadores da G Data Solutions descobriram que o STRRAT foi feito para roubar credenciais e senhas de clientes e navegadores de email por meio de keylogging.O malware também vem com um módulo de ransomware anexando arquivos ao. Extensão CRIMSON: em uma reviravolta inesperada, as vítimas podem recuperar seus dados simplesmente removendo a extensão dos nomes de arquivos afetados.

Como os usuários podem se defender de emails com cargas maliciosas

A segurança de organizações e usuários individuais pode ajudar a se defender de cargas maliciosas, tendo uma melhor conscientização de segurança. As organizações podem fazer isso por meio de treinamento de conscientização para educar os funcionários sobre os perigos do phishing por email. O treinamento deve incluir phishing simulado para testar a familiaridade dos funcionários com essas mensagens e dissuadi-los de serem vítimas de tais conspirações.
O pessoal de segurança da informação deve aumentar isso com medidas técnicas, como banners que sinalizam emails de fontes não confiáveis. Isso é especialmente importante para todos os emails provenientes de domínios na lista negra, para que não haja chance de macros serem executadas a partir de anexos de email.

Os cibercriminosos podem usar o malware STRRAT para roubar credenciais salvas em navegadores da Web e clientes de email. Isso significa que os agentes de ameaças podem usar esse Trojan de acesso remoto para roubar contas e usá-las em transações fraudulentas, compras, spam de malware e muito mais. A função de registro de chaves o torna especialmente perigoso, pois os atacantes podem coletar informações como endereços de email, nomes de usuário, senhas, dados de cartão de crédito e outras informações confidenciais. Os RATs podem ser usados para executar comandos que permitem que os invasores tenham acesso completo a um computador, usando-o para instalar outros mineradores de malware, ransomware ou criptomoeda.