StrRAT nuevo malware evidenciado robando contraseñas

El equipo de inteligencia de seguridad de Microsoft ha emitido una alerta de seguridad para un troyano de acceso remoto identificado como StrRAT que mediante una campaña de phishing masiva con una carga útil desagradable como archivos PDF busca robar contraseñas y credenciales.

Malware StrRAT

La última versión del malware StrRAT basado en Java (1.5) se está distribuyendo en una campaña de correo electrónico masiva. Este RAT es famoso por su comportamiento similar al ransomware de agregar la extensión de nombre de archivo .crimson a los archivos, pero en realidad no cifra los archivos. Aún no está claro si evolucionará para hacerlo, pero por ahora, no completa la acción.

Características:

• StrRAT es una herramienta de acceso remoto basada en Java.
• Roba las credenciales del navegador.
• Registra las pulsaciones de teclas.
• Toma el control remoto de los sistemas infectados.
• Tiene un módulo para descargar carga útil adicional en la máquina infectada según el comando del servidor C2.
• Además, esta amenaza tiene un módulo de cifrado/descifrado de ransomware que agrega la extensión .crimson.

Campaña de phishing masiva

El método básico para el ataque de malware consiste en que los piratas informáticos utilizan una cuenta de correo electrónico comprometida para enviar una variedad de correos electrónicos con asuntos relacionados con el pago y lo que parece ser un PDF adjunto. El correo electrónico indicará al destinatario que verifique la información en el PDF como una forma de lograr que el usuario lo abra.

Si se hace clic en el PDF, el malware StrRAT se descargará e instalará sin más intervención del usuario y le permitirá robar contraseñas y credenciales del navegador, comenzar a registrar pulsaciones de teclas y dar al pirata informático el control remoto del sistema.

El Centro de Ciberinteligencia de Entel recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.