编者按
目前,垃圾邮件散发者正在传播针对税务申报人的Java远程访问木马——jRAT。邮件附件添加“IRS Updates.jar”和“Important_PDF.jar”,如果点开,可以让攻击者访问受损的端点。
正在追踪jRAT的Zscaler认为,这可能与Loki木马有关,上个月曾攻击过安卓手机。
Zscaler的安全研究员Sameer Patil说:“恶意软件继续使用当前的热门事件或时事来吸引不知情的受害者,引起人们的注意和兴趣。”
在4月18日缴税期限的前一天,安全专家和美国国税局开始警告大家提高警惕,目前是繁忙的税务诈骗季节。3月份,微软公布了一系列网络钓鱼行为,其中就有使用税务诈骗来传播Zdowbot和Omaneat银行木马。
Patil写道:一旦点击附件,用户就成为了一个jRAT的受害者。他说,打开这个附件的人,会使得自己和企业网络受到攻击的风险。
“jRAT有效载荷能够从C2服务器接收命令,在受害者的机器上下载和执行任意有效载荷。“它也有能力偷偷地通过激活照相机和拍摄照片来窥探受害者。”Pail写道。
基于Java的RAT的使用并不是唯一的。它们与其他RAT不同,如ROKRAT(利用EPS漏洞)和针对安卓设备的SpyNote RAT。
Patil指出了一个jRAT样本所使用的混淆等级,使得作者难以反编译和了解其代码。如果收件人打开恶意Java归档的(JAR)附件,则VBScript会在Windows“%APPDATA%”目录中放置一个名为“Retrive.vbs”的文件。接下来,病毒会检查防病毒软件或防火墙软件的存在。
Patil说。“这些JAR文件基本上包含加密形式的jRAT样本。”研究人员说,它所使用的加密是通过嵌入式AES密钥,并使用RSA密钥进行加密。
与C2服务器的通信是通过加密配置文件进行的,其中包含bot的细节。通过在系统重新自动启动注册表项实现主机的留存。攻击者使用硬编码的URL(workfromhomeplc [。] ru / dmp / PO%233555460.exe)下载其他恶意可执行文件。
在分析时,URL不活跃,但是研究人员指出,该URL也被用于托管Loki木马。
上个月,由各种手机制造商生产的移动设备被发现在供应链上预先安装恶意软件。其中六个设备被发现感染了Loki木马,这是一个已经流传一年多的恶意广告网络。Loki可以通过展示广告来产生收入,具有持久性,并且可以拦截来自安卓设备的通信和渗透数据。
