Los usuarios de habla rusa se han convertido en el objetivo de una nueva campaña de phishing que aprovecha un conjunto de herramientas de phishing de código abierto llamado Gophish para entregar DarkCrystal RAT (también conocido como DCRat) y un troyano de acceso remoto previamente no documentado denominado PowerRAT.
“La campaña involucra cadenas de infección modulares que son infecciones basadas en Maldoc o HTML y requieren la intervención de la víctima para desencadenar la cadena de infección”, Chetan Raghuprasad, investigador de Cisco Talos. dicho en un análisis del martes.
El objetivo de los usuarios de habla rusa es una evaluación derivada del lenguaje utilizado en los correos electrónicos de phishing, el contenido señuelo de los documentos maliciosos, los enlaces disfrazados de Yandex Disk (“disk-yandex[.]ru”) y páginas web HTML disfrazadas de VK, una red social predominantemente utilizada en el país.
gophish se refiere a un marco de phishing de código abierto que permite a las organizaciones probar sus defensas contra el phishing aprovechando plantillas fáciles de usar y lanzar campañas basadas en correo electrónico que luego se pueden rastrear casi en tiempo real.
Se ha observado que el actor de amenazas desconocido detrás de la campaña aprovecha el conjunto de herramientas para enviar mensajes de phishing a sus objetivos y, en última instancia, impulsar DCRat o PowerRAT dependiendo del vector de acceso inicial utilizado: un documento malicioso de Microsoft Word o un HTML con JavaScript incorporado.
Cuando la víctima abre el maldoc y habilita las macros, se ejecuta una macro falsa de Visual Basic (VB) para extraer un archivo de aplicación HTML (HTA) (“UserCache.ini.hta”) y un cargador de PowerShell (“UserCache.ini”).
La macro es responsable de configurar una clave de Registro de Windows de modo que el archivo HTA se inicie automáticamente cada vez que un usuario inicia sesión en su cuenta en el dispositivo.
El archivo HTA, por su parte, coloca un archivo JavaScript (“UserCacheHelper.lnk.js”) que es responsable de ejecutar PowerShell Loader. El JavaScript se ejecuta utilizando un binario legítimo de Windows llamado “cscript.exe”.
“El script del cargador de PowerShell que se hace pasar por el archivo INI contiene datos codificados en base64 de la carga útil PowerRAT, que decodifica y ejecuta en la memoria de la máquina de la víctima”, dijo Raghuprasad.
El malware, además de realizar un reconocimiento del sistema, recopila el número de serie del disco y se conecta a servidores remotos ubicados en Rusia (94.103.85[.]47 o 5.252.176[.]55) para recibir más instrucciones.
“[PowerRAT] tiene la funcionalidad de ejecutar otros scripts o comandos de PowerShell según lo indique el [command-and-control] servidor, habilitando el vector de ataque para más infecciones en la máquina víctima”.
En caso de que no se reciba respuesta del servidor, PowerRAT viene equipado con una función que decodifica y ejecuta un script de PowerShell integrado. Ninguna de las muestras analizadas hasta el momento tiene cadenas codificadas en Base64, lo que indica que el malware está en desarrollo activo.
La cadena de infección alternativa que emplea archivos HTML incrustados con JavaScript malicioso, de manera similar, desencadena un proceso de varios pasos que conduce a la implementación del malware DCRat.
“Cuando una víctima hace clic en el enlace malicioso en el correo electrónico de phishing, se abre un archivo HTML ubicado remotamente que contiene el JavaScript malicioso en el navegador de la máquina de la víctima y ejecuta simultáneamente el JavaScript”, señaló Talos. “El JavaScript tiene un blob de datos codificado en Base64 de un archivo 7-Zip de un ejecutable SFX RAR malicioso”.
Dentro del archivo (“vkmessenger.7z”), que se descarga mediante una técnica llamada contrabando de HTML, hay otro SFX RAR protegido con contraseña que contiene la carga útil RAT.
Vale la pena señalar que Netskope Threat Labs detalló la secuencia exacta de infección en relación con una campaña que aprovechó páginas HTML falsas que se hacían pasar por TrueConf y VK Messenger para entregar DCRat. Además, se ha propuesto el uso de un archivo autoextraíble anidado. observado previamente en campañas que entregan SparkRAT.
“El ejecutable SFX RAR está empaquetado con ejecutables de cargador o cuentagotas maliciosos, un archivo por lotes y un documento señuelo en algunas muestras”, dijo Raghuprasad.
“El SFX RAR coloca GOLoader y la hoja de cálculo de Excel del documento señuelo en la carpeta temporal de aplicaciones de perfil de usuario de la máquina víctima y ejecuta GOLoader junto con la apertura del documento señuelo”.
El cargador basado en Golang también está diseñado para recuperar el flujo de datos binarios DCRat desde una ubicación remota a través de una URL codificada que apunta a un archivo ahora eliminado. repositorio de GitHub y guárdelo como “file.exe” en la carpeta del escritorio de la máquina de la víctima.
DCRat es una RAT modular que puede robar datos confidenciales, capturar capturas de pantalla y pulsaciones de teclas, proporcionar acceso de control remoto al sistema comprometido y facilitar la descarga y ejecución de archivos adicionales.
“Establece persistencia en la máquina víctima creando varias tareas de Windows para ejecutar en diferentes intervalos o durante el proceso de inicio de sesión de Windows”, dijo Talos. “La RAT se comunica con el servidor C2 a través de una URL codificada en el archivo de configuración de RAT […] y extrae los datos confidenciales recopilados de la máquina víctima”.
El desarrollo se produce cuando Cofense advirtió sobre campañas de phishing que incorporan contenido malicioso dentro de archivos de disco duro virtual (VHD) como una forma de evitar la detección por Secure Email Gateways (SEG) y, en última instancia, distribuir Remcos RAT o XWorm.
“Los actores de amenazas envían correos electrónicos con archivos adjuntos .ZIP que contienen archivos de disco duro virtual o enlaces incrustados a descargas que contienen un archivo de disco duro virtual que la víctima puede montar y explorar”, dijo el investigador de seguridad Kahng An. dicho. “A partir de ahí, se puede engañar a la víctima para que ejecute una carga útil maliciosa”.