Een nieuwe spam-campagne leveren van de ozonlaag RAT is gedetecteerd targeting Duitstalige gebruikers. De aanval wordt verspreid via kwaadaardige Office-documenten. Echter, in plaats van de bekende macro malware, eindigt de bediening met de installatie van ozon.
belangwekkend, gebruikers niet gevraagd om macro's in Word-documenten mogelijk te maken, maar in plaats daarvan “uitgenodigd’’om te dubbelklikken op een miniatuur die uiteindelijk uitvoert kwaadaardige JavaScript-code op. Dit is een oude techniek die niet is gebruikt in een tijdje.
Een kijkje in de Ozone RAT Spam Campaign
Onderzoekers van Fortinet hebben gemeld dat de e-mail onderwerp bevat factuurgegevens voor “Kabel” service, en de bijlage bevat een Microsoft Word-document. Vanzelfsprekend, geen van deze iets te maken met een echte kabel-service.
Zoals al gezegd, gehecht aan het document is een JavaScript met een kleine thumbnail van wat wordt aangeboden aan slachtoffer kabel factuur. Het beeld komt met de klassieke instructie om dubbelklik erop om het te zien op volledige grootte. Als de potentiële slachtoffer wordt misleid in het doen, een kwaadaardig JavaScript wordt uitgevoerd, en de volgende stap in de infectie keten wordt geactiveerd.
De kwaadaardige JavaScript begint een valse SSL Certificaat installeren, en stelt proxies op IE, Chrome, en Mozilla browsers naar een afgelegen Proxy Auto Config (PAC) bestand. Het adres van de PAC-bestand is een TOR URL (een tool die mensen in staat stelt om anoniem te communiceren op het internet) die willekeurig gekozen uit de hard-coded configuratie.
Een andere niet-zo-typische component van de aanval is de hosting van de kwaadaardige PAC-bestand op een Tor URL via een Tor2Web proxy-dienst, zoals ui(.)aan.
De laatste fase van het hele scenario is de installatie van een kopie van het Ozone RAT. Het RAT werd voor het eerst meer dan een jaar geleden. Momenteel, het wordt online verkocht voor de prijs van $20 een standaardpakket en $50 een platina-pakket.
Waarom is de hele operatie uitgevoerd?
Cybercriminelen uiteindelijke doel is aan te sluiten op de lokale kopie op het systeem van het slachtoffer geïnstalleerd en zoek naar gevoelige informatie. Dit is niet verwonderlijk als een set van spion componenten worden aangeboden om een deel van de Trojan te zijn, zoals een keylogger, een wachtwoord dumper, een verborgen startup routine, de mogelijkheid om het proces te verbergen, de mogelijkheid om andere bestanden te downloaden en uit te voeren, en een remote desktop functie.
“Met RAT toepassingen zoals Ozone, Men hoeft geen expert te zijn om te creëren en distribueren van malware. Iedereen kan Ozone te kopen van hun websites, of gewoon downloaden “gemodificeerd” versies, als wat we in onze tests voor dit artikel“, Fortinet onderzoekersconcluderen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: