{"id":3151,"date":"2021-09-06T12:10:09","date_gmt":"2021-09-06T12:10:09","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=3151"},"modified":"2023-09-16T11:04:23","modified_gmt":"2023-09-16T11:04:23","slug":"malware-strrat-e-utilizzo-di-jre","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/uncategorized-it\/malware-strrat-e-utilizzo-di-jre\/","title":{"rendered":"Malware STRRAT e utilizzo di JRE"},"content":{"rendered":"\n<p style=\"text-align: justify\">Il malware <strong>STRRAT<\/strong> \u00e8 un <strong>Remote Access Tool<\/strong> basato su Java che non necessita di una pregressa installazione <b>dell&#8217;ambiente JRE<\/b>. La sua catena di infezione prevede infatti il download di un archivio contenente il <strong>Java Runtime Environment<\/strong> per l&#8217;esecuzione del software malevolo.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-strrat\">STRRAT<\/h2>\n\n\n\n<p style=\"text-align: justify\">Il <strong>RAT<\/strong> \u00e8 stato identificato per la prima volta in una campagna di <strong>Malspam<\/strong> nel 2020. La peculiarit\u00e0 di questo strumento per il controllo remoto \u00e8 data dal fatto che non necessita di una installazione <strong>Java<\/strong> nel sistema operativo, in quanto provvede al download di un <strong>JRE (Java Runtime Environment)<\/strong> e all&#8217;esecuzione di uno script <strong>Batch<\/strong> per lanciare il <strong>RAT<\/strong> in formato <strong>JAR<\/strong>.<\/p>\n\n\n\n<p style=\"text-align: justify\">Le ultime evidenze del malware risalgono ad Agosto 2021. Sono state identificate email con allegati <strong>Excel<\/strong> contenenti macro malevole. Le macro, una volta abilitate dall&#8217;utente, scaricano un file <strong>Zip<\/strong> contenente il <strong>JRE<\/strong>, il RAT in formato <strong>JAR<\/strong> e uno script <strong>Batch <\/strong>per l&#8217;esecuzione del malware.<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large\"><img decoding=\"async\" src=\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2021\/09\/image-2.png\" alt=\"\" class=\"wp-image-3156\" loading=\"lazy\" \/><\/figure>\n<\/div>\n\n\n<p style=\"text-align: justify\">Il contenuto dell&#8217;archivio viene estratto nella cartella <strong>C:\\User<\/strong> (molto simile alla cartella legittima <strong>C:\\Users<\/strong>).<\/p>\n<p style=\"text-align: justify\">Una volta eseguito, il RAT effettua alcune attivit\u00e0 di riconoscimento del sistema e invia i risultati al server dell&#8217;attaccante.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-indicatori-di-compromissione\">Indicatori di Compromissione<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-sha256\">Sha256<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>685549196c77e82e6273752a6fe522ee18da8076f0029ad8232c6e0d36853675<\/li>\n\n\n\n<li> cd6f28682f90302520ca88ce639c42671a73dc3e6656738e20d2558260c02533<\/li>\n\n\n\n<li> f148e9a2089039a66fa624e1ffff5ddc5ac5190ee9fdef35a0e973725b60fbc9<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-ip\">IP<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>54.202.26[.]55<\/li>\n\n\n\n<li>105.109.211[.]84 <\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-domini\">Domini<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>idgerowner.duckdns[.]org<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Il malware STRRAT \u00e8 un Remote Access Tool basato su Java che non necessita di una pregressa installazione dell&#8217;ambiente JRE. La sua catena di infezione prevede infatti il download di un archivio contenente il Java Runtime Environment per l&#8217;esecuzione del software malevolo. STRRAT Il RAT \u00e8 stato identificato per la prima volta in una campagna [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1611,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[954],"tags":[1657,1659,1439],"class_list":["post-3151","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized-it","tag-java-it","tag-jre-it","tag-malware-it"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3151","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=3151"}],"version-history":[{"count":1,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3151\/revisions"}],"predecessor-version":[{"id":5206,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3151\/revisions\/5206"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=3151"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=3151"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=3151"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}