二重恐喝の様で二重恐喝でない

またおかしなマルウェアが確認されています。
今回のマルウェアはSTRRATです。
このマルウェアはおなじみの手法で入ってきます。
メールを介したマルウェアキャンペーンで被害者候補のPCにやってきます。
で、そのメールを被害者候補の人が開くと、被害者候補は被害者となります。
被害者となった人のPCには脅迫状が表示され、支払いを要求されます。

Javaで作られたこのマルウェアはこれまでよりも難読化が進んだものとなっており、モジュール化がされています。
そして多くの機能を持つバックドアを仕掛けます。
こんな機能があります。

• パスワードの収集
• キーストロークの記録
• リモートでのOSコマンド実行
• リモートでのPowerShellスクリプト実行

ここまでは普通の二重恐喝と同じです。
でも、ここからが違います。
前述の活動に加えて、このマルウェアは次の機能も実行します。

• その場にあるファイルのファイル名の末尾への「.crimson」の追加

この活動は、単にファイル名の変更です。
普通の二重恐喝マルウェアは暗号化したうえでファイル名を変更します。
しかしSTRRATは単にファイル名を変更します。

どうやら、このSTRRATはよくできた認証情報収集用マルウェアのようです。

単にファイル名を変更して暗号化しないのは何の意味があるのでしょうか。
パスワードの抜き取りなどの機能を設置したことに気が付かれないようにするための陽動だという解釈をしているセキュリティベンダーもあります。

こんな方法で、バックドアを仕掛けたことがごまかせるのでしょうか。
こっそりと仕掛けるほうが良い気がするのは私だけでしょうか。
作戦にもいろいろあると思うのですが、どういうことなんでしょうね。
なぞなマルウェアです。

参考記事（外部リンク）：This massive phishing campaign delivers password-stealing
malware disguised as ransomware
www.zdnet.com/article/this-massive-phishing-campaign-delivers-password-stealing-malware-disguised-as-ransomware/