Debido a la importancia crítica que tiene el envío y la recepción de productos para la mayoría de las organizaciones, los actores de amenazas a menudo usan el envío como un señuelo para los correos electrónicos de phishing, como facturas falsas, cambios en la entrega del envío o avisos relacionados con una compra ficticia, para atraer a los destinatarios a abrir correos electrónicos maliciosos. archivos adjuntos y la descarga involuntaria de malware.
FortiGuard Labs encontró recientemente un ejemplo de un correo electrónico de este tipo que posteriormente se descubrió que albergaba una variante del malware STRRAT como archivo adjunto.
Este blog detallará la deconstrucción del correo electrónico de phishing y su carga maliciosa.
Como la mayoría de los ataques de phishing, las campañas anteriores de STRAAT han utilizado un cuentagotas intermedio (por ejemplo, una macro maliciosa de Excel) adjunto al correo electrónico que descarga la carga útil final cuando se abre. Esta muestra prescinde de esa táctica y, en su lugar, adjunta la carga útil final directamente al correo electrónico de phishing.
Figura 1. Remitente y asunto del correo electrónico falsificado
Como muestra la Figura 1, esta muestra claramente no es de Maersk Shipping. Los actores de amenazas esperan que los destinatarios no miren demasiado de cerca. Al profundizar más en los encabezados de los correos electrónicos, se hace evidente el rastro completo de dónde proviene el correo electrónico:
Después de salir de la infraestructura local del remitente, el mensaje eventualmente se enruta a través de “acalpulps[.]com” antes de ser entregado al destinatario final. Este dominio solo se registró en agosto de 2021, lo que hace que el dominio sea algo sospechoso. Además, el dominio utilizado en la dirección “Responder a”, “ftqplc[.]in”, también se registró recientemente (octubre de 2021), por lo que también es muy sospechoso.
El cuerpo del correo electrónico alienta al destinatario a abrir archivos adjuntos sobre un envío programado.
Figura 3. Cuerpo del correo electrónico
A la fecha de publicación de este blog, el dominio “v[.]al” incluido en el cuerpo de la carta no resuelve. 
Figura 4. Archivos adjuntos de correo electrónico
Se adjuntan directamente al correo electrónico de muestra una imagen PNG y dos archivos Zip. “maersk.png” es solo un archivo de imagen, como se muestra en la Figura 4. Los dos archivos Zip, “SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF[.]zip” y “SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF (2)[.]zip”, sin embargo, contienen una copia incrustada de STRRAT.
Conclusión
Los actores de amenazas dedican una enorme cantidad de esfuerzo a crear campañas que aprovechen las operaciones básicas del día a día de las empresas. Esto incluye la entrada de materias primas y la salida de productos terminados a través de las redes de envío y transporte. Las amenazas de esta naturaleza solo aumentarán en los próximos meses y años y las organizaciones deben estar en guardia ante los intentos de subvertir sus operaciones de esta manera.
Esta campaña es uno de esos intentos. STRRAT no atrae tanta atención como algunos de los troyanos más vistos en el ecosistema de malware, pero es una amenaza capaz y resistente donde se encuentra.
