返回

通过电子邮件传播STRRAT木马

发布时间:2022-01-24 17:48:16 113

研究人员发现了一场新的网络钓鱼活动,攻击者冒充全球航运业巨头马士基航运公司(Maersk Shipping),使用虚假的运输诱饵,在受害者设备上安装STRRAT远程访问木马。STRRAT是一种远程访问木马,可以窃取受害者信息甚至伪造勒索软件攻击。

电子邮件伪装成马士基航运公司,看似包含有关装运、交货日期更改或虚假购买通知的信息,并包含一个Excel附件或伪装成发票相关的链接。如果收件人打开附加的文档,运行的宏代码则会将STRRAT恶意软件安装到受害者的机器上。活动中使用的示例网络钓鱼电子邮件如下:

通过电子邮件传播STRRAT木马

攻击者使用Allatori工具对包含的软件包进行了混淆,以逃避安全产品的检测。STRRAT感染首先解密配置文件,将恶意软件复制到新目录,然后添加新的Windows注册表项以实现持久性。

STRRAT恶意软件首先收集主机系统的基本信息,例如架构和运行的防病毒工具,并检查本地存储和网络功能。STRRAT可以执行以下操作:

记录用户击键

可以远程控制操作

从Chrome、Firefox和Microsoft Edge等浏览器窃取密码

从Outlook、Thunderbird和Foxmail等电子邮件客户端窃取密码

运行伪勒索软件模块以模拟感染

运行伪勒索软件模块以模拟感染一功能很有趣,因为在伪造的勒索软件攻击中并没有文件被加密。因此这一功能可能是为了用来转移受害者的注意力,使其忽略真正的问题,即数据泄露。

STRRAT虽然不像一些更广为人知的木马那样著名,但也是一种强有力的威胁,企业需要时刻保持警惕以应对这种威胁。

特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线