STRRAT RAT spreads masquerading as ransomware
2021/05/20 SecurityAffairs — Microsoft Security Intelligence の研究者たちが、STRRAT と呼ばれるリモート・アクセス・トロイの木馬(RAT : remote access trojan)を拡散する、マルウェア・キャンペーンのソンザイを確認した。この RAT は、ランサムウェア攻撃を装いながら、被害者からデータを盗むように設計されている。
Java ベースの RAT STRRAT は、大規模なスパム・キャンペーンで配布されている。そこで用いられるマルウェアは、実際にはファイルを暗号化せずに、ファイルに対して拡張子「.crimson」を付加するという、ランサムウェアに似た動作をする。 Microsoft によると、このキャンペーンの背後にいる犯罪者たちは、侵害した電子メール・アカウントを使用して、PDF 添付を装う画像イメージを配布するという。
この画像イメージを開くと、悪意のコードによる悪意のドメインへの接続が実行され、STRRAT RAT がダウンロードされる。研究者たちは、STRRAT のバージョン1.5が、以前のバージョンよりも難読化され、モジュール化されていること説明している。このマルウェアは、ブラウザ・パスワードの収集や、リモートコマンドおよび PowerShell の実行、キーストロークの記録などの、複数の機能をサポートしている。
2020年6月に STRRAT RAT を発見した G DATA が、その特徴をドキュメント化しているようです。それによると、ブラウザやメール・クライアントにおける認証情報の窃取や、キーロガーによるパスワードの窃取に重点を置いた RAT とのことです。また、攻撃の対象となるブラウザ/メール・クライアントは、Firefox / Internet Explorer / Chrome / Foxmail / Outlook / Thunderbird になるようです。
IoT OT Security News 