Usuários que falam russo tornaram-se o alvo de uma nova campanha de phishing que explora um kit de ferramentas de phishing de código aberto chamado Gophish para entregar o DarkCrystal RAT (também conhecido como DCRat) e um trojan de acesso remoto anteriormente não documentado apelidado de PowerRAT.
"A campanha envolve cadeias de infecção modulares baseadas em Maldoc ou infecções HTML e requer a intervenção da vítima para ativar a cadeia de infecção", disse o pesquisador da Cisco Talos, Chetan Raghuprasad, em uma análise de terça-feira(22).
O direcionamento de usuários que falam russo é uma avaliação derivada da linguagem usada nos e-mails de phishing, o conteúdo de isca nos documentos maliciosos, links disfarçados como Yandex Disk ("disk-yandex[.]ru") e páginas web HTML disfarçadas como VK, uma rede social predominantemente utilizada no país.
Gophish refere-se a uma estrutura de phishing de código aberto que permite às organizações testar suas defesas contra phishing, aproveitando modelos fáceis de usar e lançar campanhas baseadas em e-mail que podem então ser rastreadas em tempo quase real.
O ator de ameaças desconhecido por trás da campanha foi observado tirando vantagem do kit de ferramentas para enviar mensagens de phishing aos seus alvos e, finalmente, empurrar DCRat ou PowerRAT dependendo do vetor de acesso inicial utilizado: Um documento malicioso do Microsoft Word ou um HTML incorporando JavaScript.
Quando a vítima abre o maldoc e habilita macros, uma macro rogada de Visual Basic (VB) é executada para extrair um arquivo de aplicativo HTML (HTA) ("UserCache.ini.hta") e um carregador PowerShell ("UserCache.ini").
A macro é responsável por configurar uma chave do Registro do Windows de tal forma que o arquivo HTA seja automaticamente lançado toda vez que um usuário faz login em sua conta no dispositivo.
O arquivo HTA, por sua vez, solta um arquivo JavaScript ("UserCacheHelper.lnk.js") que é responsável por executar o Carregador PowerShell.
O JavaScript é executado usando um binário legítimo do Windows chamado "cscript.exe".
"O script de carregador PowerShell disfarçado como o arquivo INI contém um blob de dados codificados em base64 do payload PowerRAT, que decodifica e executa na memória da máquina da vítima", disse Raghuprasad.
O malware, além de realizar reconhecimento do sistema, coleta o número serial do disco e se conecta a servidores remotos localizados na Rússia (94.103.85[.]47 ou 5.252.176[.]55) para receber mais instruções.
[PowerRAT] tem a funcionalidade de executar outros scripts ou comandos PowerShell conforme dirigido pelo servidor [command-and-control], habilitando o vetor de ataque para mais infecções na máquina da vítima.
No evento de que nenhuma resposta é recebida do servidor, PowerRAT vem equipado com um recurso que decodifica e executa um script PowerShell embutido.
Nenhuma das amostras analisadas até agora tem strings codificadas em Base64 nelas, indicando que o malware está em desenvolvimento ativo.
A cadeia de infecção alternativa que emprega arquivos HTML embutidos com JavaScript malicioso, de forma similar, aciona um processo de múltiplos passos que leva à implementação do malware DCRat.
"Quando uma vítima clica no link malicioso no e-mail de phishing, um arquivo HTML localizado remotamente contendo o JavaScript malicioso abre no navegador da máquina da vítima e simultaneamente executa o JavaScript", Talos observou.
O JavaScript possui um blob de dados codificados em Base64 de um arquivo de arquivo 7-Zip de um executável malicioso SFX RAR.
Presente dentro do arquivo de arquivo ("vkmessenger.7z") – que é baixado por uma técnica chamada HTML smuggling – está outro SFX RAR protegido por senha que contém o payload do RAT.
É válido observar que a exata sequência de infecção foi detalhada pela Netskope Threat Labs em conexão com uma campanha que aproveitou páginas HTML falsas imitando TrueConf e VK Messenger para entregar DCRat.
Além disso, o uso de um arquivo auto-extraível aninhado foi observado anteriormente em campanhas que entregam SparkRAT.
"O executável SFX RAR é empacotado com os executáveis maliciosos loader ou dropper, arquivo batch e um documento isca em algumas amostras", disse Raghuprasad.
O SFX RAR solta o GOLoader e o documento isca planilha Excel na pasta temporária de aplicações do perfil do usuário da máquina vítima e executa o GOLoader junto com a abertura do documento isca.
O carregador baseado em Golang também é projetado para recuperar o fluxo de dados binários do DCRat de um local remoto através de uma URL codificada que aponta para um repositório no GitHub agora removido e salva-lo como "file.exe" na pasta de desktop na máquina da vítima.
DCRat é um RAT modular que pode roubar dados sensíveis, capturar screenshots e teclados, e proporcionar acesso de controle remoto ao sistema comprometido e facilitar o download e execução de arquivos adicionais.
"Ele estabelece persistência na máquina da vítima criando várias tarefas do Windows para rodar em diferentes intervalos ou durante o processo de login do Windows," disse Talos.
O RAT se comunica com o servidor C2 através de uma URL codificada no arquivo de configuração do RAT [...] e exfiltra os dados sensíveis coletados da máquina da vítima.
O desenvolvimento vem como a Cofense alertou sobre campanhas de phishing que incorporam conteúdo malicioso dentro de arquivos de disco rígido virtual (VHD) como uma maneira de evitar detecção por Secure Email Gateways (SEGs) e, em última instância, distribuir Remcos RAT ou XWorm.
"Os atores de ameaças enviam e-mails com anexos de arquivo .ZIP contendo arquivos de disco rígido virtual ou links embutidos para downloads que contêm um arquivo de disco rígido virtual que pode ser montado e navegado pela vítima", disse o pesquisador de segurança Kahng An.
A partir daí, uma vítima pode ser induzida a executar uma carga maliciosa.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...