Os usuários que falam russo foram vítimas de uma nova campanha de phishing que usa um kit de ferramentas de phishing chamado Gophish para entregar o DarkCrystal RAT (também conhecido como DCRat) e um trojan de acesso remoto conhecido como PowerRAT.
“Esta campanha envolve cadeias de infecção modulares que são baseadas em Maldoc ou em HTML e requerem a intervenção da vítima para acionar a cadeia de infecção”, disse o pesquisador do Cisco Talos, Chetan Raghuprasad, em uma análise de terça-feira.
A segmentação de usuários de língua russa é baseada no idioma usado em e-mails de phishing, cujo conteúdo atrai documentos maliciosos, links que fingem ser Yandex Disk (“disk-yandex[.]ru”) e páginas HTML disfarçadas de VK, a rede social mais usada no país.
Gophish é uma estrutura de phishing de código aberto que permite às organizações testar suas defesas contra phishing por meio de modelos fáceis de usar e lançar campanhas baseadas em e-mail que podem ser rastreadas em tempo real.
Um ator malicioso desconhecido por trás da campanha foi visto aproveitando o kit de ferramentas para enviar mensagens de phishing aos alvos e, eventualmente, enviar DCRat ou PowerRAT, dependendo do vetor de acesso inicial usado: um documento malicioso do Microsoft Word ou HTML incorporando JavaScript.
Quando a vítima abre o maldoc e habilita macros, uma macro forte do Visual Basic (VB) é usada para extrair o arquivo do aplicativo HTML (HTA) (“UserCache.ini.hta”) e o carregador do PowerShell (“UserCache. what”).
A macro é responsável por configurar a chave do Registro do Windows para que o arquivo HTA seja iniciado automaticamente toda vez que o usuário fizer login em sua conta no dispositivo.
O arquivo HTA, por outro lado, descarta um arquivo JavaScript (“UserCacheHelper.lnk.js”) responsável por executar o PowerShell Loader. O JavaScript é executado usando um binário oficial do Windows chamado “cscript.exe”.
“O script de upload do PowerShell disfarçado de arquivo INI contém um blob de dados codificado em base64 para a carga útil do PowerRAT, que ele decodifica e executa na memória da máquina da vítima”, disse Raghuprasad.
O malware, além de verificar novamente o sistema, coleta o número de série da unidade e se conecta a servidores remotos localizados na Rússia (94.103.85)[.]47 ou 5.252.176[.]55) para obter mais instruções.
“[PowerRAT] tem a função de executar outros scripts ou comandos do PowerShell conforme indicado por [command-and-control] servidor, o que torna o vetor de ataque ciente de outras infecções na máquina da vítima.”
Caso nenhuma resposta seja recebida do servidor, o PowerRAT vem equipado com um recurso que decodifica e executa um script PowerShell incorporado. Nenhuma das amostras analisadas até agora possui strings codificadas em Base64, indicando que o malware está em desenvolvimento ativo.
Outra cadeia de infecção que usa arquivos HTML incorporados com JavaScript malicioso, da mesma forma, inicia um processo de várias etapas que leva à execução do malware DCRat.
“Quando uma vítima clica em um link malicioso em um e-mail de phishing, um arquivo HTML remoto contendo JavaScript malicioso é aberto no navegador da máquina da vítima e executa simultaneamente o JavaScript”, observou Talos. “JavaScript contém um blob de dados codificado em Base64 para um arquivo 7-Zip de uma exploração maliciosa de SFX RAR.”
Contido no arquivo arquivado (“vkmessenger.7z”) – que é baixado através do chamado contrabando de HTML – está outro SFX RAR protegido por senha que contém a carga útil do RAT.
É importante notar que a sequência exata da infecção foi descrita pelo Netskope Threat Labs em relação a uma campanha que usou páginas HTML falsas representando TrueConf e VK Messenger para entregar DCRat. Além disso, o uso de um arquivo autoextraível já foi visto em campanhas que entregam SparkRAT.
“O executável SFX RAR vem com executáveis maliciosos de carregador ou dropper, um arquivo em lote e um documento de trapaça para algumas amostras”, disse Raghuprasad.
“SFX RAR baixa o GOLoader e uma planilha Excel de documento isca para a pasta de aplicativos temporários do perfil de usuário da máquina vítima e, em seguida, executa o GOLoader e abre o documento isca.”
O carregador baseado em Golang também foi projetado para recuperar binários DCRat de um local remoto por meio de uma URL codificada que aponta para o repositório GitHub agora excluído e salvá-lo como “file.exe” na pasta local da área de trabalho da vítima. a máquina.
DCRat é um RAT modular que pode roubar dados confidenciais, capturar capturas de tela e bloqueios, fornecer acesso remoto a um sistema comprometido e facilitar o download e a criação de arquivos adicionais.
“Ele estabelece persistência na máquina da vítima criando múltiplas tarefas do Windows para serem executadas em momentos diferentes ou durante o login do Windows”, disse Talos. “O RAT se comunica com o servidor C2 por meio de uma URL codificada no arquivo de configuração do RAT […] e extrair dados confidenciais coletados da máquina da vítima.”
O desenvolvimento ocorre no momento em que a Cofense alerta sobre campanhas de phishing que incluem conteúdo malicioso dentro de arquivos de disco rígido virtual (VHD) como uma forma de evitar a detecção por Secure Email Gateways (SEGs) e, em última análise, distribuir o Remcos RAT ou XWorm.
“Atores assustadores enviam e-mails com anexos ZIP contendo arquivos de disco rígido virtual ou links de download incorporados contendo um arquivo de disco rígido virtual que pode ser instalado e navegado pela vítima”, disse o pesquisador de segurança Kang An. “A partir daí, a vítima pode ser levada a pagar uma quantia exorbitante”.
