Theo nhóm bảo mật của Microsoft, chiến dịch này hiện đang tận dụng một hướng tấn công phát tán thư rác hàng loạt bằng các email có chứa tệp PDF độc hại đính kèm. "Những kẻ tấn công đã sử dụng các tài khoản email bị xâm nhập để thực hiện chiến dịch tấn công bằng email”, Microsoft cho biết trên Twitter. “Các email chứa một tệp đính kèm có vẻ là một file PDF nhưng khi mở ra, nó được kết nối với một tên miền độc hại để tải xuống phần mềm độc hại STRRAT.”
Nội dung email giả mạo
STRRAT là gì?
Được phát hiện lần đầu tiên vào tháng 6/2020, STRRAT là một trojan truy cập từ xa (RAT) có thể hoạt động như một cửa hậu trên các máy chủ bị nhiễm.
Theo phân tích kỹ thuật của công ty bảo mật G DATA (Đức), RAT có nhiều tính năng khác nhau, từ khả năng lấy cắp thông tin đăng nhập đến khả năng giả mạo các tệp cục bộ.
Nhà phân tích phần mềm độc hại Karsten Hahn của G DATA cho biết, STRRAT có thể kết xuất và lấy cắp thông tin đăng nhập từ các trình duyệt và ứng dụng email như: Firefox, Internet Explorer, Chrome, Foxmail, Outlook và Thunderbird.
STRRAT cũng có thể chạy các lệnh shell hoặc PowerShell tùy chỉnh nhận được từ máy chủ điều khiển, khiến kẻ tấn công có toàn quyền kiểm soát máy chủ bất kỳ lúc nào.
Nếu kẻ tấn công không muốn tương tác với máy chủ bị nhiễm thông qua một máy chủ trung gian, chúng cũng có tùy chọn sử dụng STRRAT để cài đặt RDWrap, một công cụ mã nguồn mở cho phép kẻ tấn công kết nối với máy chủ thông qua giao thức truy cập máy tính từ xa (Remote Desktop Protocol - RDP).
Giả mạo mã độc tống tiền
Đặc điểm nổi bật so với hầu hết các chủng RAT khác nhau đó là thói quen mã hóa của STRRAT. “Cái gọi là mã hóa chỉ là đổi tên các tệp bằng cách thêm phần mở rộng .crimson," Hahn cho biết vào năm 2020 khi phân tích STRRAT v1.2.
Điều này có thể vẫn đúng đối với mã độc tống tiền vì các tệp như vậy không thể truy cập bằng cách nhấp đúp. Tuy nhiên, nếu tiện ích mở rộng bị xóa, các tệp có thể được mở như bình thường.
Phiên bản mới nhất của phần mềm độc hại STRRAT dựa trên Java (1.5), được phát hiện trong một chiến dịch email lớn trong tháng 5/2021, bởi hành vi giống như mã độc tống tiền là gắn phần mở rộng tên tệp .crimson vào các tệp mà không thực sự mã hóa chúng. Nhưng trong khi Hahn phân tích STRRAT v1.2, Microsoft cho biết hành vi mã hóa giả mạo này vẫn tồn tại trong STRRAT v1.5.
Các chuyên gia khuyến cáo, người dùng hoặc các công ty khi nhận thấy tệp của dữ liệu được mã hóa bằng phần mở rộng .crimson, thì cần xóa phần mở rộng này. Việc này nên được thực hiện trước trên một tệp thử nghiệm, vì các chủng mã độc tống tiền khác cũng có thể đang sử dụng phần mở rộng này. Nếu các tệp có thể được mở sau khi xóa phần mở rộng .crimson, thì rất có thể máy tính đã bị nhiễm STRRAT và việc lây nhiễm sẽ cần được chuyên gia bảo mật giải quyết.