Uma nova campanha de spam entregar o RAT ozônio tem sido detectado direcionada aos usuários de língua alemã. O ataque é espalhado através de documentos do Office maliciosos. Contudo, em vez do malware macro conhecido, as extremidades de operação com a instalação de Ozono.
Curiosamente, os usuários não são solicitados a habilitar macros em documentos do Word, mas, em vez disso, são "convidados" a clicar duas vezes em uma imagem em miniatura que eventualmente executa JavaScript malicioso. Esta é uma técnica antiga que não era usada há algum tempo.
Uma análise mais detalhada da campanha de spam RAT da Ozone
Pesquisadores da Fortinet relataram que o assunto do e-mail contém informações de cobrança para “Cabo” serviço, e o anexo contém um documento do Microsoft Word. Escusado será dizer, nenhum deles tem nada a ver com um serviço de cabo real.
Como já disse, anexado ao documento está um JavaScript com uma pequena miniatura do que é apresentado como a conta de TV a cabo da vítima. A imagem vem com a instrução clássica para clicar duas vezes nela para vê-la em tamanho real. Se a vítima potencial for induzida a fazê-lo, um JavaScript malicioso será executado, e a próxima etapa na cadeia de infecção será acionada.
O JavaScript malicioso começa a instalar um certificado SSL falso, e define proxies no IE, cromada, e navegadores Mozilla para um Proxy Auto Config remoto (PAC) Arquivo. O endereço do arquivo PAC é um URL TOR (uma ferramenta que permite às pessoas se comunicarem anonimamente na Internet) que é selecionado aleatoriamente de sua configuração codificada.
Outro componente não tão típico do ataque é a hospedagem do arquivo PAC malicioso em um URL Tor por meio de um serviço de proxy Tor2Web como o onion(.)para.
A etapa final de todo o cenário é a instalação de uma cópia do Ozone RAT. o RATO foi detectado pela primeira vez há mais de um ano. atualmente, está sendo vendido online pelo preço de $20 para um pacote padrão e $50 por um pacote de platina.
Por que toda a operação é realizada?
O objetivo final dos cibercriminosos é conectar-se à cópia local instalada no sistema da vítima e pesquisar informações confidenciais. Isso não é surpreendente, já que um conjunto de componentes espiões são anunciados como parte do Trojan, como um keylogger, um dumper de senha, uma rotina de inicialização oculta, a capacidade de ocultar seu processo, a capacidade de baixar e executar outros arquivos, e um recurso de desktop remoto.
“Com aplicações RAT como Ozone, não é preciso ser um especialista para criar e distribuir malware. Qualquer pessoa pode comprar Ozone em seus sites, ou simplesmente baixe as versões “modificadas”, como o que usamos em nossos testes para este artigo“, Pesquisadores Fortinetconcluir.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: