Microsoft, allerta malware: come attacca StrRAT

Alert virus. Nuovo virus. Codice maligno. Malware per la precisione. E’ proprio Microsoft a mettere allerta tutti i possessori di device di una campagna spam che utilizza una variante aggiornata del malware StrRAT basato su Java, che ruba dati riservati camuffandosi come un’infezione da ransomware anche se in realtà non crittografa i dati.

“Questo Trojan di accesso remoto è famigerato per il suo comportamento simile a un ransomware: aggiunge l’estensione del nome file .crimson ai file senza effettivamente crittografarli“. Con queste parole, il Security Intelligence Team di Microsoft lancia l’allarme attraverso “cinguettii” che fanno rumore su Twitter.

Microsoft, il malware StrRAT basato su Java è stato individuato per la prima volta nel giugno 2020

L’estensione del nome impedisce agli utenti di aprire il file con un doppio clic, consentendo invece agli aggressori di tentare un’estorsione semplice e veloce. Fortuna che Microsoft osserva che gli utenti possono rimuovere l’estensione per recuperare i propri file.

LEGGI ANCHE >>> Iliad, nuove offerte FLASH 120 e FLASH 80: tanti giga pochi euro

La campagna di spam utilizza l’ingegneria sociale per indurre le vittime a fare clic su collegamenti dannosi. Le e-mail inviate da account compromessi visualizzano un allegato PDF con “Pagamenti in uscita” come oggetto. Se viene cliccato, invece di aprire un PDF, scarica il malware StrRAT, che si connette al server di comando e controllo degli aggressori. StrRAT può rubare le credenziali del browser, registrare le sequenze di tasti e assumere il controllo remoto di un sistema infetto.

LEGGI ANCHE >>> Tik Tok e la lotta al bullismo, ma come era nato il social-network cinese?

Il malware StrRAT basato su Java è stato individuato per la prima volta nel giugno 2020 dai ricercatori della società tedesca di sicurezza informatica G Data CyberDefense AG. Il malware, versione 1.2, ha infettato i dispositivi Windows tramite campagne e-mail che spingevano allegati JAR (o archivi Java) dannosi, che hanno fornito il payload RAT finale dopo aver attraversato due fasi degli script VBScript.

“La versione 1.5 è notevolmente più offuscata rispetto alle versioni precedenti, ma le funzioni backdoor rimangono per lo più le stesse: bisogna raccogliere le password del browser, eseguire comandi remoti e PowerShell, registrare le sequenze di tasti osserva Microsoft“.

Karsten Hahn, analista di malware presso G Data, osserva che il Trojan di accesso remoto si concentra sul furto di credenziali di browser e client di posta, comprese le password tramite keylogging. “Supporta browser e client di posta elettronica – osserva Hahn – come Firefox, Internet Explorer, Chrome, Foxmail, Outlook e Thunderbird. Il malware StrRAT consente anche l’installazione di RDPWrap“.

RDPWrap è uno strumento open source che abilita il supporto dell’host Desktop remoto su Windows.