Σταματήστε να ανοίγετε αρχεία PDF που επισυνάπτονται σε μηνύματα ηλεκτρονικού ταχυδρομείου, εκτός εάν είστε απολύτως βέβαιοι για το πού προέρχονται και ποιος σας τα στέλνει.

Όχι ότι οι περισσότεροι από εσάς πιθανότατα ανοίγατε τέτοια συνημμένα email με άγρια ​​εγκατάλειψη πριν από τώρα, αλλά προειδοποιήστε - η ομάδα Security Intelligence της Microsoft έχει αποκαλύψει αυτό που ακούγεται σαν Επίθεση κακόβουλου λογισμικού Trojan ως μέρος μιας «μαζικής» καμπάνιας email με ένα δυσάρεστο ωφέλιμο φορτίο — κακόβουλα αρχεία PDF, τα οποία κατεβάζουν ένα Trojan απομακρυσμένης πρόσβασης Java που κλέβει κωδικό πρόσβασης και διαπιστευτήρια που ονομάζεται StrRAT. Εκτός από την κλοπή διαπιστευτηρίων και ακόμη και τον έλεγχο των συστημάτων, οι ερευνητές της Microsoft ανακάλυψαν επίσης ότι αυτό το κακόβουλο λογισμικό μπορεί να μεταμφιεστεί ως πλαστό ransomware.

«Όταν εκτελείται σε ένα σύστημα», εξηγεί η Microsoft σε ένα νήμα tweet σχετικά με αυτό το συγκεκριμένο κακόβουλο λογισμικό, «Το STRRAT συνδέεται με έναν διακομιστή C2. Η έκδοση 1.5 είναι ιδιαίτερα πιο ασαφής και αρθρωτή από τις προηγούμενες εκδόσεις, αλλά οι λειτουργίες του backdoor παραμένουν ως επί το πλείστον οι ίδιες: συλλογή κωδικών πρόσβασης προγράμματος περιήγησης, εκτέλεση απομακρυσμένων εντολών και PowerShell, πληκτρολογήσεις καταγραφής, μεταξύ άλλων.

Η τελευταία έκδοση του κακόβουλου λογισμικού STRRAT που βασίζεται σε Java (1.5) διανεμήθηκε σε μια τεράστια καμπάνια ηλεκτρονικού ταχυδρομείου την περασμένη εβδομάδα. Αυτό το RAT είναι διαβόητο για τη συμπεριφορά του που μοιάζει με ransomware, καθώς προσαρτά την επέκταση ονόματος αρχείου .crimson σε αρχεία χωρίς να τα κρυπτογραφεί στην πραγματικότητα. pic.twitter.com/mGow2sJupN

— Microsoft Security Intelligence (@MsftSecIntel) 19 Μαΐου 2021

Σε μια καλή περίληψη των μηχανισμών αυτού του κακόβουλου λογισμικού μεThreatpost , η δημοσίευση σημειώνει ότι αυτή η καμπάνια κακόβουλου λογισμικού ξεκινά από εισβολείς που διακυβεύουν λογαριασμούς email για να στείλουν πολλά είδη email, ελπίζοντας προφανώς ότι τουλάχιστον ένας από αυτούς βρει το στίγμα του. Ορισμένα από τα μηνύματα, για παράδειγμα, συνοδεύονται από τη γραμμή θέματος 'Εξερχόμενες πληρωμές', το οποίο μπορεί να φαίνεται αρκετά αβλαβές σε κάποιον σε μια μικρή επιχείρηση. Άλλοι ισχυρίζονται ότι προέρχονται από το 'Τμήμα πληρωτέων λογαριασμών'.

Η καμπάνια περιλαμβάνει πολλά διαφορετικά μηνύματα ηλεκτρονικού ταχυδρομείου που όλα χρησιμοποιούν κοινωνική μηχανική γύρω από τις αποδείξεις πληρωμής για να ενθαρρύνουν τους χρήστες να κάνουν κλικ σε ένα συνημμένο αρχείο που φαίνεται να είναι PDF, αλλά στην πραγματικότητα έχει κακόβουλο σκοπό.'Threatpostσυνεχίζεται.

'Ένα email ενημερώνει τον παραλήπτη ότι περιλαμβάνει μια 'Εξερχόμενη πληρωμή' με έναν συγκεκριμένο αριθμό — πιθανώς, το συνημμένο PDF. Ένας άλλος απευθύνει το μήνυμα σε έναν «Προμηθευτή» και φαίνεται να ενημερώνει τον παραλήπτη ότι «η πληρωμή σας έχει αποδεσμευτεί σύμφωνα με τις συνημμένες συμβουλές πληρωμής», ζητώντας από τον παραλήπτη να επαληθεύσει τις προσαρμογές που έγιναν στο συνημμένο PDF».

Ο μηχανισμός παράδοσης αυτού του κακόβουλου λογισμικού, μέσω των ηλεκτρονικών μηνυμάτων ηλεκτρονικού ψαρέματος, είναι αναμφισβήτητα κάτι σαν αδυναμία, καθώς σε αυτήν την περίπτωση απαιτεί από το θύμα να λάβει μέτρα για να τεθεί σε κίνηση όλο αυτό το πράγμα. Αντιμετωπίστε τα μηνύματα που λαμβάνετε από το μπλε, καθώς και τα απροσδόκητα μηνύματα email, με τον σκεπτικισμό που τους αξίζει, ειδικά όσα έχουν κάποιο είδος οικονομικής συνιστώσας, κίνητρο ή απαιτούμενη δράση.

Η Microsoft, παρεμπιπτόντως, λέει ότι το Microsoft 365 Defender της μπορεί να προστατεύει τα συστήματα από το StrRAT και ότι η προστασία που βασίζεται στη μηχανική μάθηση μπορεί επίσης να εντοπίσει και να αποκλείσει κακόβουλο λογισμικό σε συστήματα υπολογιστών.