Eine neue Spam-Kampagne, um die Ozon-RAT geliefert hat Targeting erkannt deutschsprachigen Benutzer. Der Angriff wird über bösartige Office-Dokumente zu verbreiten. Jedoch, anstelle der bekannten Makro Malware, der Vorgang endet mit der Installation von Ozone.
Interessant, Benutzer sind nicht zu aktivieren Makros in Word-Dokumente aufgefordert, sondern „eingeladen‘‘auf einen Doppelklick auf ein Miniaturbild werden, die schließlich bösartige JavaScript ausführt. Dies ist eine alte Technik, die in einer Zeit lang verwendet wird nun nicht.
Ein genauerer Blick in die Ozon-RAT-Spam-Kampagne
Forscher an Fortinet haben berichtet, dass der E-Mail-Betreff enthält Abrechnungsinformationen für “Kabel” Bedienung, und die Anlage enthält ein Microsoft Word-Dokument. Unnötig zu sagen, keiner von denen haben nichts mit einem echten Kabel-Service zu tun.
Wie schon gesagt, an dem Dokument ist ein JavaScript mit einem kleinen thumbnail of Dargestellten Opfers Kabel-Rechnung zu sein. Das Bild kommt mit der klassischen Anweisung doppelklicken Sie darauf, um es in voller Größe zu sehen. Wenn die potenziellen Opfer in tut so ausgetrickst, wird ein bösartiges JavaScript ausgeführt werden, und der nächste Schritt in der Infektionskette ausgelöst wird.
Der bösartige JavaScript beginnt ein gefälschtes SSL-Zertifikat zu installieren, und setzt Proxies auf IE, Chrom, und Mozilla-Browser auf einem Remote-Proxy Auto Config (PAC) Datei. Die Adresse, an die PAC-Datei ist eine TOR-URL (ein Werkzeug, das Menschen zu kommunizieren anonym über das Internet ermöglicht) dass zufällig aus seiner hartcodierte Konfiguration ausgewählt.
Eine weitere nicht-so-typische Komponente des Angriffs ist die Austragung der bösartigen PAC-Datei auf einem Tor URL über einen Tor2Web Proxy-Dienst wie Zwiebel(.)zu.
Die letzte Phase des gesamten Szenarios ist die Installation einer Kopie des Ozone RATES. Die RAT wurde zum ersten Mal entdeckt ein Jahr mehr als. Zur Zeit, es wird online für den Preis der verkauften $20 für ein Standard-Paket und $50 für ein Platin-Paket.
Warum wird die ganze Operation durchgeführt?
Cyber-Kriminelle Endziel ist auf die lokale Kopie auf dem System des Opfers installiert verbinden und für sensible Informationen suchen. Dies ist nicht überraschend, da eine Reihe von Spionage Komponenten beworben wird Teil des Trojan zu sein, wie beispielsweise ein keylogger, ein Passwort dumper, eine versteckte Startroutine, die Fähigkeit, seinen Prozess zu verstecken, die Fähigkeit, andere Dateien herunterladen und ausführen, und eine Remote-Desktop-Funktion.
“Mit RAT Anwendungen wie Ozon, man braucht kein Experte zu sein, Malware zu erstellen und verteilen. Jeder kann Ozon von ihren Websites kaufen, oder einfach herunterladen „modifizierte“ -Versionen, wie das, was wir in unseren Tests für diesen Artikel“, Fortinet Forscherdaraus schließen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: