Noch ein kleiner Nachtrag. Microsoft hat kürzlich vor einer massiven E-Mail-Kampagne gewarnt, bei der Malware verbreitet werden soll. Bei der Malware-Kampagne wurde/wird der Java-basierte StrRAT-Remote-Access-Trojaner (RAT) verbreitet. Dieser ist für seine Fähigkeiten zum Diebstahl von Daten und zum Vortäuschen von Ransomware-Angriffen bekannt.
Anzeige
Microsoft selbst hat dazu lediglich die nachfolgenden Tweets mit einigen Informationen über das Aussehen der Mails gepostet.
Laut den Microsoft Tweets wurde die neueste Version der Java-basierten STRRAT-Malware (1.5) kürzlich in einer massiven E-Mail-Kampagne verbreitet. Dieser RAT ist berüchtigt für ein Ransomware-ähnliches Verhalten, bei dem der Schädling die Dateinamenserweiterung .crimson an Dateien anhängt, ohne sie tatsächlich zu verschlüsseln.
Die Angreifer verwenden gehackte E-Mail-Konten, um die E-Mails mit einem PDF-Anhang an Empfänger zu verschicken. Öffnet dieser Empfänger den verseuchten Anhang, wird die StrRAT-Malware heruntergeladen. Dazu stellt STRRAT eine Verbindung zu einem C2-Server her.
Anzeige
StrRAT ist ein Java-basiertes Remote-Zugriffs-Tool, das Browser-Anmeldeinformationen stiehlt, Tastatureingaben protokolliert und die Fernsteuerung infizierter Systeme übernimmt. Das ist alles als typisches Verhaltensmuster von Remote Access Tools (RATs) bekannt. Die RAT-Malware verfügt außerdem über ein Modul, mit dem eine zusätzliche Nutzlast auf den infizierten Rechner heruntergeladen werden kann. Das Ganze ist auf dieser GitHub-Seite ausführlicher beschrieben.
Version 1.5 ist laut Microsoft deutlich verschleierter und modularer als die Vorgängerversionen aufgebaut. Aber die Backdoor-Funktionen bleiben größtenteils gleich: Sammeln von Browser-Passwörtern, Ausführen von Remote-Befehlen und PowerShell-Scripts, Protokollieren von Tastatureingaben und vieles mehr.
Der Microsoft 365 Defender schützt gegen diese Bedrohung. Auf maschinellem Lernen basierende Schutzmaßnahmen erkennen und blockieren die Malware auf den Endgeräten, und informiert den Schutz von Microsoft Defender für Office 365 vor bösartigen E-Mails. Zudem hat Microsoft auf Github noch einige Hinweise veröffentlicht. Artikel mit weiteren Details zum Thema finden sich zudem hier, hier und hier.
Anzeige
Reicht es dabei aus, dass der Empfänger den PDF-Dateianhang nur öffnet, oder müssen noch weitere Aktionen vom Anwender bestätigt oder selbst gestartet werden?
Aus dem zweiten"hier":
"The attached file in all these cases, however, is not a PDF at all, but instead connects the system to a malicious domain to download the StrRAT malware, which then connects to a C2 server."
Ist also gar kein PDF. Laut drittem "hier" soll es ein Image sein.
Ist mir alles ein wenig dürftig und hinterlässt einen komischen Nachgeschmack.