Microsoft advierte de un malware que roba datos y se hace pasar por un ransomware

Microsoft advirtió el jueves de una «campaña masiva de correo electrónico» que está impulsando un malware STRRAT basado en Java para robar datos confidenciales de los sistemas infectados mientras se disfraza como una infección de ransomware.

«Este RAT es famoso por su comportamiento similar al de un ransomware que añade la extensión de nombre de archivo .crimson a los archivos sin cifrarlos realmente», dijo el equipo de Microsoft Security Intelligence en una serie de tweets.

La nueva oleada de ataques, que la compañía detectó la semana pasada, comienza con correos electrónicos de spam enviados desde cuentas de correo electrónico comprometidas con el título «Outgoing Payments» (Pagos salientes) en la línea de asunto, que inducen a los destinatarios a abrir documentos PDF maliciosos que dicen ser remesas, pero que en realidad conectan con un dominio falso para descargar el malware STRRAT.

Además de establecer conexiones con un servidor de comando y control durante la ejecución, el malware viene con una serie de funciones que le permiten recopilar las contraseñas del navegador, registrar las pulsaciones del teclado y ejecutar comandos remotos y scripts de PowerShell.

STRRAT apareció por primera vez en el panorama de las amenazas en junio de 2020, cuando la empresa alemana de ciberseguridad G Data observó el malware para Windows (versión 1.2) en correos electrónicos de phishing que contenían archivos adjuntos maliciosos Jar (o Java Archive).

«El RAT se centra en el robo de credenciales de navegadores y clientes de correo electrónico, y de contraseñas a través del keylogging», detalló el analista de malware de G Data, Karsten Hahn. «Es compatible con los siguientes navegadores y clientes de correo electrónico: Firefox, Internet Explorer, Chrome, Foxmail, Outlook, Thunderbird».

Sus capacidades de ransomware son, en el mejor de los casos, rudimentarias, ya que la etapa de «encriptación» sólo cambia el nombre de los archivos mediante el sufijo de la extensión «.crimson». «Si se elimina la extensión, los archivos pueden abrirse como de costumbre», añadió Kahn.

Microsoft también señala que la versión 1.5 está más ofuscada y es más modular que las versiones anteriores, lo que sugiere que los atacantes detrás de la operación están trabajando activamente para improvisar su conjunto de herramientas. Sin embargo, el hecho de que el comportamiento de cifrado falso permanezca inalterado indica que el grupo puede tener como objetivo obtener dinero rápido de los usuarios desprevenidos mediante la extorsión.

Artículos recientes

Manténgase informado de las noticias diarias en su bandeja de entrada