通过电子邮件传播STRRAT木马

研究人员发现了一场新的网络钓鱼活动，攻击者冒充全球航运业巨头马士基航运公司（Maersk Shipping），使用虚假的运输诱饵，在受害者设备上安装STRRAT远程访问木马。STRRAT是一种远程访问木马，可以窃取受害者信息甚至伪造勒索软件攻击。

电子邮件伪装成马士基航运公司，看似包含有关装运、交货日期更改或虚假购买通知的信息，并包含一个Excel附件或伪装成发票相关的链接。如果收件人打开附加的文档，运行的宏代码则会将STRRAT恶意软件安装到受害者的机器上。活动中使用的示例网络钓鱼电子邮件如下：

攻击者使用Allatori工具对包含的软件包进行了混淆，以逃避安全产品的检测。STRRAT感染首先解密配置文件，将恶意软件复制到新目录，然后添加新的Windows注册表项以实现持久性。

STRRAT恶意软件首先收集主机系统的基本信息，例如架构和运行的防病毒工具，并检查本地存储和网络功能。STRRAT可以执行以下操作：

记录用户击键

可以远程控制操作

从Chrome、Firefox和Microsoft Edge等浏览器窃取密码

从Outlook、Thunderbird和Foxmail等电子邮件客户端窃取密码

运行伪勒索软件模块以模拟感染

运行伪勒索软件模块以模拟感染一功能很有趣，因为在伪造的勒索软件攻击中并没有文件被加密。因此这一功能可能是为了用来转移受害者的注意力，使其忽略真正的问题，即数据泄露。

STRRAT虽然不像一些更广为人知的木马那样著名，但也是一种强有力的威胁，企业需要时刻保持警惕以应对这种威胁。