Os usuários que falam russo se tornaram alvo de uma nova campanha de phishing que utiliza um package de ferramentas de phishing de código aberto chamado Gophish para fornecer DarkCrystal RAT (também conhecido como DCRat) e um trojan de acesso remoto anteriormente não documentado chamado PowerRAT.
“A campanha envolve cadeias de infecção modulares que são infecções baseadas em Maldoc ou HTML e requerem a intervenção da vítima para acionar a cadeia de infecção”, disse o pesquisador do Cisco Talos, Chetan Raghuprasad, em uma análise de terça-feira.
A segmentação de usuários que falam russo é uma avaliação derivada da linguagem usada nos e-mails de phishing, do conteúdo atraente nos documentos maliciosos, dos hyperlinks disfarçados de Yandex Disk (“disk-yandex(.)ru”) e das páginas HTML disfarçadas como VK, rede social predominantemente utilizada no país.
Gophish refere-se a uma estrutura de phishing de código aberto que permite às organizações testar suas defesas contra phishing, aproveitando modelos fáceis de usar e lançando campanhas baseadas em e-mail que podem ser rastreadas quase em tempo actual.
O ator de ameaça desconhecido por trás da campanha foi observado aproveitando o package de ferramentas para enviar mensagens de phishing aos seus alvos e, por fim, enviar DCRat ou PowerRAT, dependendo do vetor de acesso inicial usado: um documento malicioso do Microsoft Phrase ou um JavaScript incorporado em HTML.
Quando a vítima abre o maldoc e habilita macros, uma macro Visible Primary (VB) não autorizada é executada para extrair um arquivo de aplicativo HTML (HTA) (“UserCache.ini.hta”) e um carregador do PowerShell (“UserCache.ini”).
A macro é responsável por configurar uma chave de registro do Home windows para que o arquivo HTA seja iniciado automaticamente sempre que um usuário fizer login em sua conta no dispositivo.
O arquivo HTA, por sua vez, descarta um arquivo JavaScript (“UserCacheHelper.lnk.js”) responsável pela execução do PowerShell Loader. O JavaScript é executado usando um binário legítimo do Home windows chamado “cscript.exe”.
“O script do carregador do PowerShell disfarçado de arquivo INI contém um blob de dados codificado em base64 da carga útil PowerRAT, que decodifica e executa na memória da máquina da vítima”, disse Raghuprasad.
O malware, além de realizar o reconhecimento do sistema, coleta o número de série da unidade e se conecta a servidores remotos localizados na Rússia (94.103.85(.)47 ou 5.252.176(.)55) para receber mais instruções.
“(PowerRAT) tem a funcionalidade de executar outros scripts ou comandos do PowerShell conforme direcionado pelo servidor (comando e controle), habilitando o vetor de ataque para novas infecções na máquina da vítima.”
Caso nenhuma resposta seja recebida do servidor, o PowerRAT vem equipado com um recurso que decodifica e executa um script PowerShell incorporado. Nenhuma das amostras analisadas até agora contém strings codificadas em Base64, indicando que o malware está em desenvolvimento ativo.
A cadeia de infecção alternativa que emprega arquivos HTML incorporados com JavaScript malicioso, de maneira semelhante, desencadeia um processo de várias etapas que leva à implantação do malware DCRat.
“Quando uma vítima clica no hyperlink malicioso do e-mail de phishing, um arquivo HTML localizado remotamente contendo o JavaScript malicioso é aberto no navegador da máquina da vítima e executa simultaneamente o JavaScript”, observou Talos. “O JavaScript tem um blob de dados codificado em Base64 de um arquivo 7-Zip de um executável SFX RAR malicioso.”
Presente no arquivo (“vkmessenger.7z”) – que é baixado por meio de uma técnica chamada contrabando de HTML – está outro SFX RAR protegido por senha que contém a carga útil do RAT.
Vale a pena notar que a sequência exata da infecção foi detalhada pelo Netskope Risk Labs em conexão com uma campanha que aproveitou páginas HTML falsas representando TrueConf e VK Messenger para entregar DCRat. Além disso, o uso de um arquivo autoextraível aninhado foi observado anteriormente em campanhas que entregam SparkRAT.
“O executável SFX RAR é empacotado com o carregador malicioso ou executáveis dropper, arquivo em lote e um documento chamariz em algumas amostras”, disse Raghuprasad.
“O SFX RAR descarta o GOLoader e a planilha do Excel do documento isca na pasta temporária dos aplicativos de perfil do usuário da máquina vítima e executa o GOLoader junto com a abertura do documento isca.”
O carregador baseado em Golang também foi projetado para recuperar o fluxo de dados binários DCRat de um native remoto por meio de uma URL codificada que aponta para um repositório GitHub agora removido e salvá-lo como “file.exe” na pasta da área de trabalho no computador da vítima. máquina.
DCRat é um RAT modular que pode roubar dados confidenciais, capturar capturas de tela e pressionamentos de teclas, fornecer acesso de controle remoto ao sistema comprometido e facilitar o obtain e a execução de arquivos adicionais.
“Ele estabelece persistência na máquina vítima criando várias tarefas do Home windows para serem executadas em intervalos diferentes ou durante o processo de login do Home windows”, disse Talos. “O RAT se comunica com o servidor C2 por meio de uma URL codificada no arquivo de configuração do RAT (…) e exfiltra os dados confidenciais coletados da máquina vítima.”
O desenvolvimento ocorre no momento em que a Cofense alerta sobre campanhas de phishing que incorporam conteúdo malicioso em arquivos de disco rígido digital (VHD) como uma forma de evitar a detecção por Safe E-mail Gateways (SEGs) e, em última análise, distribuir Remcos RAT ou XWorm.
“Os agentes da ameaça enviam e-mails com anexos de arquivo .ZIP contendo arquivos de disco rígido digital ou hyperlinks incorporados para downloads que contêm um arquivo de disco rígido digital que pode ser montado e navegado pela vítima”, disse o pesquisador de segurança Kang An. “A partir daí, uma vítima pode ser enganada e executar uma carga maliciosa.”
