微软警告称，数据窃取恶意软件伪装成勒索软件

微软周四警告称，一场“大规模电子邮件活动”正在推动一个基于Java的STRRAT恶意软件从受感染的系统窃取机密数据，同时伪装成勒索软件感染。

微软安全情报团队在一系列推文中表示：“这只老鼠因其类似勒索软件的行为而臭名昭著，它在文件中附加了文件扩展名.crimson，而没有对文件进行真正的加密。”。

该公司上周发现的新一波攻击始于从主题行中带有“外发付款”的受损电子邮件帐户发送的垃圾邮件，诱使收件人打开声称是汇款的恶意PDF文档，但实际上连接到一个恶意域下载STRRAT恶意软件。

除了在执行过程中与命令和控制服务器建立连接外，该恶意软件还具有一系列功能，可以收集浏览器密码、记录击键、运行远程命令和PowerShell脚本。

STRRAT首次出现在威胁领域是在2020年6月，当时德国网络安全公司G Data在包含恶意Jar（或Java存档）附件的钓鱼电子邮件中观察到Windows恶意软件（1.2版）。

G数据恶意软件分析师卡斯滕·哈恩（Karsten Hahn）详细介绍说：“RAT的重点是窃取浏览器和电子邮件客户端的凭据，以及通过键盘记录获取密码。”。“它支持以下浏览器和电子邮件客户端：Firefox、Internet Explorer、Chrome、Foxmail、Outlook、Thunderbird。”

它的勒索软件功能充其量只是初步的，因为“加密”阶段仅通过后缀“.crimson”扩展名来重命名文件。卡恩补充说：“如果删除了扩展名，文件可以像往常一样打开。”。

微软还指出，1.5版本比以前的版本更加模糊和模块化，这表明操作背后的攻击者正在积极地改进他们的工具集。但这种虚假加密行为保持不变的事实表明，该组织的目标可能是通过敲诈勒索从毫无戒备的用户身上快速获利。

与活动相关的妥协指标（IOC）可以通过GitHub访问。