Una campaña de phishing masiva está distribuyendo lo que parece ransomware, pero de hecho es un malware troyano que crea una puerta trasera en los sistemas Windows y roba contraseñas, nombres de usuario y otra información de las víctimas.
Detallado por investigadores de ciberseguridad de Microsoft, la última versión del malware STRRAT basado en Java se envía a través de una gran campaña de correo electrónico, que utiliza cuentas de correo electrónico comprometidas para distribuir mensajes que afirman estar relacionados con pagos, junto con una imagen que se hace pasar por un archivo PDF adjunto que parece tener información sobre la supuesta transferencia. Cuando el usuario abre este archivo, está conectado a un dominio malicioso que descarga el malware STRRAT en la máquina.
La versión actualizada del malware es lo que los investigadores describen como «notablemente más confusa y modular que las versiones anteriores», pero conserva las mismas funciones de puerta trasera, incluida la capacidad de recopilar contraseñas, registrar pulsaciones de teclas, ejecutar comandos remotos y PowerShell, y más, en última instancia dando al atacante control total sobre la máquina infectada.
Como parte del proceso de infección:
El malware agrega una extensión de nombre de archivo .crimson a los archivos en un intento de hacer que el ataque parezca ransomware, aunque en realidad ningún archivo está encriptado. Esto podría ser un intento de distraer a la víctima y ocultar el hecho de que la PC se ha visto comprometida con un troyano de acceso remoto, una forma de malware muy sigilosa, a diferencia de un ataque de ransomware mucho más evidente. Es probable que esta campaña de spam, o campañas de phishing similares, todavía esté activa mientras los ciberdelincuentes continúan intentando distribuir el malware STRRAT a más víctimas.
Dado que el malware puede acceder a nombres de usuario y contraseñas, es posible que cualquier persona cuyo sistema se infecte pueda ver que los atacantes abusan de su cuenta de correo electrónico en un esfuerzo por difundir STRRAT con nuevos correos electrónicos de phishing.
Sin embargo, como la campaña de malware se basa en correos electrónicos de phishing, se pueden tomar medidas para evitar convertirse en una nueva víctima del ataque. Estos incluyen desconfiar de los mensajes inesperados o inusuales, en particular aquellos que parecen ofrecer un incentivo financiero, así como tener cuidado cuando se trata de abrir correos electrónicos y archivos adjuntos que se envían desde direcciones de correo electrónico extrañas o desconocidas.
El uso de software antivirus para detectar e identificar amenazas también puede ayudar a evitar que los correos electrónicos maliciosos lleguen a las bandejas de entrada, eliminando el riesgo de que alguien abra el mensaje y haga clic en el enlace malicioso.
Origen: Esta campaña de phishing masiva ofrece malware que roba contraseñas disfrazado de ransomware | ZDNet
[+] Videos de nuestro canal de YouTube
¿Y tú qué opinas?