Alerta: Ciberdelincuentes desplegando los troyanos VCURMS y STRRAT a través de AWS y GitHub

Luis Quiles
Luis Quiles
pro
Ataque Phishing

Se ha observado una nueva campaña de phishing entregando troyanos de acceso remoto (RAT) como VCURMS y STRRAT mediante un descargador malicioso basado en Java.

«Los atacantes almacenaron malware en servicios públicos como Amazon Web Services (AWS) y GitHub, empleando un protector comercial para evitar la detección del malware», dijo el investigador de Fortinet FortiGuard Labs, Yurren Wan.

Un aspecto inusual de la campaña es el uso de una dirección de correo electrónico de Proton Mail («sacriliage@proton[.]me») por parte de VCURMS para comunicarse con un servidor de comando y control (C2).

La cadena de ataque comienza con un correo electrónico de phishing que insta a los destinatarios a hacer clic en un botón para verificar la información de pago, lo que resulta en la descarga de un archivo JAR malicioso («Payment-Advice.jar») alojado en AWS.

La ejecución del archivo JAR conduce a la recuperación de otros dos archivos JAR, que luego se ejecutan por separado para lanzar los troyanos gemelos.

Además de enviar un correo electrónico con el mensaje «Hey master, I am online» a la dirección controlada por el actor, el troyano VCURMS RAT verifica periódicamente el buzón de correo electrónico en busca de correos electrónicos con líneas de asunto específicas para extraer el comando a ejecutar del cuerpo del mensaje.

Esto incluye la ejecución de comandos arbitrarios utilizando cmd.exe, recopilación de información del sistema, búsqueda y carga de archivos de interés, y descarga de módulos adicionales de robo de información y keylogger desde el mismo punto final de AWS.

El robo de información viene equipado con capacidades para extraer datos sensibles de aplicaciones como Discord y Steam, credenciales, cookies y datos de autocompletar de varios navegadores web, capturas de pantalla y una amplia información de hardware y red sobre los hosts comprometidos.

Se dice que VCURMS comparte similitudes con otro robo de información basado en Java denominado Rude Stealer, que surgió en el campo a finales del año pasado. Por otro lado, STRRAT ha sido detectado en el campo desde al menos 2020, a menudo propagado en forma de archivos JAR fraudulentos.

«Wan señaló: «STRRAT es un RAT construido utilizando Java, el cual tiene una amplia gama de capacidades, como servir como un keylogger y extraer credenciales de navegadores y aplicaciones».

La revelación llega cuando Darktrace reveló una nueva campaña de phishing que está aprovechando correos electrónicos automáticos enviados desde el servicio de almacenamiento en la nube de Dropbox a través de «no-reply@dropbox[.]com» para propagar un enlace falso que imita la página de inicio de sesión de Microsoft 365.

«El correo electrónico en sí contenía un enlace que llevaría a un usuario a un archivo PDF alojado en Dropbox, aparentemente nombrado según un socio de la organización», dijo la empresa. «el archivo PDF contenía un enlace sospechoso a un dominio que nunca antes se había visto en el entorno del cliente, ‘mmv-security[.]top'».

Share this article :

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.