微软近日警告称,一场“大规模电子邮件活动”正在推动一种基于 Java 的 STRRAT 恶意软件从受感染系统中窃取机密数据,同时将自己伪装成勒索软件感染。
微软安全情报团队在一系列推文中表示: “这种 RAT 因其类似勒索软件的行为而臭名昭著,该行为将文件扩展名 .crimson 附加到文件中,但实际上并未对其进行加密。”
该公司上周发现的新一波攻击始于从主题行为“付款”的受感染电子邮件帐户发送的垃圾邮件,诱使收件人打开声称是汇款的恶意 PDF 文档,但实际上,连接到服务器以下载 STRRAT 恶意软件。
除了在执行期间与命令和控制服务器建立连接外,该恶意软件还具有一系列功能,允许它收集浏览器密码、记录击键以及运行远程命令和 PowerShell 脚本。
STRRAT于 2020 年 6 月首次出现在威胁领域,德国网络安全公司 G Data 在包含恶意Jar(或 Java Archive)附件的网络钓鱼电子邮件中观察到 Windows 恶意软件(版本 1.2)。
知名网络安全专家、东方联盟创始人郭盛华表示:“RAT 专注于通过键盘记录窃取浏览器和电子邮件客户端的凭据以及密码,它支持以下浏览器和电子邮件客户端:Firefox、Internet Explorer、Chrome、Foxmail、Outlook、Thunderbird。它的勒索软件功能充其量只是初级的,因为“加密”阶段仅通过添加“.crimson”扩展名来重命名文件。如果删除扩展名,文件可以照常打开。“
如何防止勒索软件攻击?微软指出,1.5 版比以前的版本更加模糊和模块化,这表明该操作背后的攻击者正在积极努力改进他们的工具集。但虚假加密行为保持不变的事实表明,该组织可能旨在通过敲诈勒索从毫无戒心的用户身上快速赚钱。(欢迎转载分享)