I en ny rapport skriver cybersäkerhetsföretaget Fortinet om en ny typ av nätfiskekampanj som lurar användare att ladda ned skadlig kod med avsikten att installera trojaner för fjärråtkomst, så kallade RAT-varianter.
Vad som är speciellt med den här nätfiskekampanjen är att den laddar ner flera olika typer av skadlig kod som angriper offrens enhet från olika håll, däribland:
- En keylogger som lagrar tangentbordsinmatningar.
- RAT-trojanen STRAT, skriven i Java och som ger möjlighet att kontrollera offrens enhet från distans. STRAT är sedan tidigare välkänd i cyberkretsar.
- En ny RAT-trojan vid namn VCUMS. Trojanen startar automatiskt när användaren startar den infekterade enheten och flaggar för angriparna att enheten är online.
- En så kallad Infostealer, som bland annat skannar webbläsaren efter sparade lösenord och surfhistorik.
Nätfiskekampanjen är i övrigt av traditionell sort, där mejl skickas ut till anställda på företag om att en betalning är på ingång och en uppmaning att verifiera betalningsinformation via extern länk. När offret klickar sig vidare laddas den skadliga filen ned. Precis som vid andra nätfiskekampanjer är de nedladdade filerna döpta till namn som ska locka människor att öppna dem.
Den skadliga programvaran lagras på offentliga tjänster som Amazon Web Services (AWS) och GitHub, och använder ett kommersiellt skydd för att undvika upptäckt.
– Den här typen av nätfiskekampanjer är bekymmersamma eftersom de riskerar att slå hårt både mot den enskilda användaren som drabbas och mot organisationen i stort, eftersom informationen som nätkriminella kommer över kan användas för mer storskaliga attacker, säger Andreas Gotthardsson, cybersäkerhetsexpert på Fortinet.
– Som alltid handlar det om att arbeta med förebyggande åtgärder för att anställda snabbt ska kunna identifiera den här typen av mejl, och direkt rapportera till säkerhetsteamet. Detta gäller särskilt anställda som har högre behörighet, och som exempelvis hanterar betalningar.