Со времени последней кампании StrRat, отмеченной в Италии, прошло около четырех месяцев. Распространенное сегодня письмо написано на английском языке, но, судя по всему, пришло от известной итальянской компании, занимающейся разработкой промышленного оборудования и расположенной в Брешии. Естественно, отправитель подделан, а содержание письма искусно упаковано.
Файл, приложенный к письму, - предполагаемый счет-фактура, с которым вам предлагается ознакомиться, - имеет двойное расширение '.doc.jar'. В действительности из JAR-файла извлекается и выполняется новый файл с двойным расширением '.doc.js'.
Код JavaScript завуалирован, но видно, что в нем содержится длинный текст, очень похожий на строку Base64, в которой не хватает некоторых фрагментов (трех переменных).
Код StrRat достаточно прост, удаленно активируются следующие функции:
- Запись нажатых клавиш (Keylogging)
- Повышение привилегий
- Кража паролей
- Поддельные программы выкупа
Indicators of Compromise
IPv4
- 194.180.49.39
Domains
- judhglaq.gleeze.com
URLs
- http://jbfrost.live/strigoi/server/?hwid=1&lid=m&ht=5
MD5
- 250d09e650c301b53d00a703f39354d1
- 333a9414bf9a3a929bccae9e9e6c31e2
- f78161b469e2aceb6fd94b097a5d32c6
SHA1
- 80f0949ca74c2b9127070691e1dd67dd82027f54
- aeb977370e8e40c7323ecebe262d153ea59bd7c6
- cb1cfadcee9d701b4e87ddebba4e6b1d60db8712
SHA256
- 27f16f3e0ae8499d98a9b7537ff2619d54bc8a7d8350f3f547521eb5b39bdb6b
- dab63f2dbddb3c2a7b960644781a372a6623e53dc5cf007b45ba44e6d007b178
- fed69483c65124aaa131a3fb4e99508ee0497b7672811349bbe541f541df5362
