Malware STRRAT e utilizzo di JRE

Pubblicato da frtg il

Il malware STRRAT è un Remote Access Tool basato su Java che non necessita di una pregressa installazione dell’ambiente JRE. La sua catena di infezione prevede infatti il download di un archivio contenente il Java Runtime Environment per l’esecuzione del software malevolo.

STRRAT

Il RAT è stato identificato per la prima volta in una campagna di Malspam nel 2020. La peculiarità di questo strumento per il controllo remoto è data dal fatto che non necessita di una installazione Java nel sistema operativo, in quanto provvede al download di un JRE (Java Runtime Environment) e all’esecuzione di uno script Batch per lanciare il RAT in formato JAR.

Le ultime evidenze del malware risalgono ad Agosto 2021. Sono state identificate email con allegati Excel contenenti macro malevole. Le macro, una volta abilitate dall’utente, scaricano un file Zip contenente il JRE, il RAT in formato JAR e uno script Batch per l’esecuzione del malware.

Il contenuto dell’archivio viene estratto nella cartella C:\User (molto simile alla cartella legittima C:\Users).

Una volta eseguito, il RAT effettua alcune attività di riconoscimento del sistema e invia i risultati al server dell’attaccante.

Indicatori di Compromissione

Sha256

  • 685549196c77e82e6273752a6fe522ee18da8076f0029ad8232c6e0d36853675
  • cd6f28682f90302520ca88ce639c42671a73dc3e6656738e20d2558260c02533
  • f148e9a2089039a66fa624e1ffff5ddc5ac5190ee9fdef35a0e973725b60fbc9

IP

  • 54.202.26[.]55
  • 105.109.211[.]84

Domini

  • idgerowner.duckdns[.]org
Categorie: Minacce