Los usuarios de habla rusa se han convertido en el objetivo de una nueva campaña de phishing que aprovecha un conjunto de herramientas de phishing de código abierto llamado Gophish para entregar DarkCrystal RAT (también conocido como DCRat) y un troyano de acceso remoto previamente no documentado denominado PowerRAT.
“La campaña involucra cadenas de infección modulares que son infecciones basadas en Maldoc o HTML y requieren la intervención de la víctima para desencadenar la cadena de infección”, Chetan Raghuprasad, investigador de Cisco Talos. dicho en un análisis del martes.
Dirigirse a los usuarios de habla rusa es una evaluación derivada del lenguaje utilizado en los correos electrónicos de phishing, extrayendo contenido de documentos maliciosos, enlaces que se hacen pasar por Yandex Disk (“disk-yandex[.]ru”), y páginas web HTML disfrazadas de VK, una red social utilizada principalmente en el país.
gótico se refiere a un marco de phishing de código abierto que permite a las organizaciones probar sus defensas contra el phishing aprovechando plantillas fáciles de usar y lanzando campañas de correo electrónico que luego se pueden rastrear casi en tiempo real.
Se observó que el actor de amenazas desconocido detrás de la campaña aprovechaba el conjunto de herramientas para enviar mensajes de phishing a sus objetivos y, en última instancia, impulsar DCRat o PowerRAT dependiendo del vector de acceso inicial utilizado: un documento de Microsoft Word malicioso o un código HTML que incorpora JavaScript.
Cuando la víctima abre el maldoc y habilita las macros, se ejecuta una macro maliciosa de Visual Basic (VB) para extraer un archivo de aplicación HTML (HTA) (“UserCache.ini.hta”) y un cargador de PowerShell (“UserCache.ini”).
La macro es responsable de configurar una clave de registro de Windows de modo que el archivo HTA se inicie automáticamente cada vez que un usuario inicia sesión en su cuenta en el dispositivo.
El archivo HTA, por otro lado, elimina un archivo JavaScript (“UserCacheHelper.lnk.js”) responsable de ejecutar el cargador de PowerShell. El JavaScript se ejecuta utilizando un binario legítimo de Windows llamado “cscript.exe”.
“El script del cargador PowerShell que se hace pasar por el archivo INI contiene un blob de datos codificado en base64 de la carga útil PowerRAT, que decodifica y ejecuta en la memoria de la máquina de la víctima”, dijo Raghuprasad.
El malware, además de realizar el reconocimiento del sistema, recopila el número de serie del disco y se conecta a servidores remotos ubicados en Rusia (94.103.85[.]47 o 5.252.176[.]55) para recibir más instrucciones.
“[PowerRAT] tiene la funcionalidad de ejecutar otros scripts o comandos de PowerShell como se indica en el [command-and-control] servidor, permitiendo que el vector de ataque infecte aún más la máquina víctima”.
En caso de que no se reciba respuesta del servidor, PowerRAT está equipado con una función que decodifica y ejecuta un script de PowerShell integrado. Hasta el momento, ninguna de las muestras analizadas contiene cadenas codificadas en Base64, lo que indica que el malware está en desarrollo activo.
La cadena de infección alternativa que utiliza archivos HTML incrustados con JavaScript malicioso, en el mismo sentido, desencadena un proceso de varios pasos que conduce a la implementación del malware DCRat.
“Cuando una víctima hace clic en el enlace malicioso en el correo electrónico de phishing, se abre un archivo HTML ubicado remotamente que contiene el JavaScript malicioso en el navegador de la máquina de la víctima y simultáneamente ejecuta el JavaScript”, señaló Talos. “El JavaScript contiene un blob de datos codificado en Base64 de un archivo 7-Zip de un ejecutable SFX RAR malicioso”.
En el archivo (“vkmessenger.7z”), que se descarga mediante una técnica llamada contrabando de HTML, hay otro SFX RAR protegido con contraseña que contiene la carga útil RAT.
Cabe señalar que Netskope Threat Labs detalló la secuencia exacta de la infección como parte de una campaña que explotó páginas HTML falsas haciéndose pasar por TrueConf y VK Messenger para difundir DCRat. Además, se ha propuesto el uso de un archivo autoextraíble anidado. observado previamente en campañas que ejecutan SparkRAT.
“El ejecutable SFX RAR viene incluido con ejecutables de cargador o cuentagotas maliciosos, un archivo por lotes y un documento señuelo en algunas muestras”, dijo Raghuprasad.
“El SFX RAR coloca la hoja de cálculo GOLoader y Excel del documento señuelo en la carpeta temporal de aplicaciones de perfil de usuario de la máquina víctima y ejecuta GOLoader mientras abre el documento señuelo”.
El cargador basado en Golang también está diseñado para recuperar el flujo de datos binarios DCRat desde una ubicación remota a través de una URL codificada que apunta a un archivo ahora eliminado. repositorio de GitHub y guárdelo como “file.exe” en la carpeta del escritorio de la máquina de la víctima.
DCRat es una RAT modular que puede robar datos confidenciales, realizar capturas de pantalla y pulsaciones de teclas, proporcionar acceso remoto al sistema comprometido y facilitar la descarga y ejecución de archivos adicionales.
“Establece persistencia en la máquina víctima mediante la creación de múltiples tareas de Windows para ejecutar en diferentes intervalos o durante el proceso de inicio de sesión de Windows”, dijo Talos. “La RAT se comunica con el servidor C2 a través de una URL codificada en el archivo de configuración de RAT […] y extrae datos confidenciales recopilados en la máquina víctima”.
Este desarrollo se produce cuando Cofense advirtió sobre campañas de phishing que incorporan contenido malicioso en archivos de disco duro virtual (VHD) para evitar la detección por puertas de enlace de correo electrónico seguras (SEG) y, en última instancia, distribuyen Remcos RAT o XWorm.
“Los actores de amenazas envían correos electrónicos con archivos adjuntos .ZIP que contienen archivos VHD o enlaces incrustados a descargas que contienen un archivo VHD que la víctima puede montar y explorar”, dijo el investigador de seguridad Kahng An. dicho. “A partir de ahí, se puede engañar a la víctima para que ejecute una carga útil maliciosa”.