Recentemente, uma nova campanha de phishing tem chamado a atenção, pois está distribuindo trojans de acesso remoto (RATs), como VCURMS e STRRAT, através de um downloader malicioso baseado em Java. Segundo o pesquisador Yurren Wan, os invasores têm armazenado o malware em serviços públicos como Amazon Web Services (AWS) e GitHub, utilizando um protetor comercial para evitar a detecção.

O ciclo de ataques começa com e-mails de phishing, nos quais os destinatários são incentivados a clicar em um botão para verificar informações de pagamento, resultando no download de um arquivo JAR malicioso (“Payment-Advice.jar”) hospedado na AWS. A execução desse arquivo JAR leva à obtenção de mais dois arquivos JAR, que são executados separadamente para iniciar os trojans.

O VCURMS RAT, além de enviar um e-mail com a mensagem “Ei mestre, estou online” para o endereço controlado pelo ator, verifica periodicamente a caixa de correio em busca de e-mails com linhas de assunto específicas para extrair os comandos a serem executados.

Este malware tem a capacidade de executar comandos arbitrários usando cmd.exe, coletar informações do sistema, pesquisar e fazer upload de arquivos de interesse, bem como baixar módulos adicionais de roubo de informações e keyloggers do mesmo endpoint da AWS. O VCURMS também é capaz de extrair dados confidenciais de aplicativos como Discord e Steam, além de credenciais, cookies e informações de preenchimento automático de navegadores da web.