Campaña Java RAT dirigida a bancos cooperativos en India

Mientras todo el mundo está ocupado luchando contra la pandemia de COVID-19, los ciberdelincuentes aprovecharon la oportunidad y utilizaron el tema para propagar numerosos ataques cibernéticos. El último en línea es un ataque dirigido contra bancos cooperativos en India. En abril de 2020, Quick Heal Security Labs observó una ola renovada de la campaña Adwind Java RAT, cuyo objetivo principal parece ser los bancos cooperativos. Estos bancos generalmente son de tamaño pequeño y pueden no tener un gran equipo de personal capacitado en seguridad cibernética, lo que, potencialmente, los ha convertido en un objetivo para los cibercriminales

Al igual que con un gran porcentaje de ciberataques relacionados con COVID-19, esta reciente campaña Java RAT también comienza con un correo electrónico de phishing. En este caso, el correo electrónico afirma que se originó en el Banco de la Reserva de la India o en una gran organización bancaria dentro del país. El contenido del correo electrónico se refiere a nuevas pautas de RBI o una transacción, con información detallada en un archivo adjunto, que es un archivo zip que contiene un archivo JAR malicioso. El uso de extensiones de archivos de documentos (por ejemplo, xlsx, pdf, etc.) en el nombre del archivo adjunto, hace que aparezca como un documento de Excel o un archivo PDF, lo que atrae a los usuarios desprevenidos a abrirlo. El archivo JAR es un troyano de administración remota que se puede ejecutar en cualquier máquina instalada con Java, incluidas Windows, Linux y Mac.

Una vez que el usuario abre el archivo adjunto, la carga maliciosa persiste modificando la clave de registro y colocando un archivo JAR en la ubicación% appdata%. Este JAR tiene ofuscación de múltiples capas para dificultar el análisis y evitar la detección de productos AV. Tras la ejecución, este archivo JAR se transforma en una herramienta de administración remota (JRat) que puede realizar diversas actividades maliciosas, como el registro de teclas, capturar capturas de pantalla, descargar cargas útiles adicionales y obtener información del usuario.