钓鱼活动中使用的Gophish框架来部署远程访问木马

讲俄语的用户已成为新网络钓鱼活动的目标，该活动利用名为Gophish的开源网络钓鱼工具包来提供DarkCrystal RAT（又名DCRat）和以前未记录的远程访问木马，称为PowerRAT。

Cisco Talos研究员Chetan Raghuprasad在周二的分析中表示，该活动涉及模块化感染链，这些感染链要么是基于Maldoc，要么是基于HTML的感染，需要受害者的干预来触发感染链。

针对俄语用户的评估来自网络钓鱼电子邮件中使用的语言、恶意文档中的诱饵内容、伪装成Yandex磁盘（“disk-yandex[.]ru”）的链接，以及伪装成VK的HTML网页，这是一个在该国主要使用的社交网络。

Gophish是指一个开源网络钓鱼框架，它允许组织通过利用易于使用的模板来测试其网络钓鱼防御，并启动基于电子邮件的活动，然后可以近乎实时地跟踪。

观察到该活动背后的未知威胁行为者利用工具包向其目标发送网络钓鱼消息，并最终根据使用的初始访问向量推送DCRat或PowerRAT：恶意的Microsoft Word文档或HTML嵌入JavaScript。

当受害者打开maldoc并启用宏时，会执行一个流氓Visual Basic（VB）宏来提取HTML应用程序（HTA）文件（“UserCache.ini.hta”）和PowerShell加载器（“UserCache.ini”）。

宏负责配置Windows注册表项，以便每次用户在设备上登录其帐户时，HTA文件都会自动启动。

就其部分而言，HTA文件会删除一个负责执行PowerShell加载器的JavaScript文件（“UserCacheHelper.lnk.js”）。JavaScript使用名为“cscript.exe”的合法Windows二进制文件执行。

Raghuprasad说，伪装成INI文件的PowerShell加载程序脚本包含有效负载PowerRAT的base64编码数据blob，该数据blob在受害者的机器内存中解码和执行。

恶意软件除了执行系统侦察外，还收集驱动器序列号，并连接到位于俄罗斯的远程服务器（94.103.85[.]47或5.252.176[.]55），以接收进一步的指示。

“[PowerRAT]具有按照[命令和控制]服务器的指示执行其他PowerShell脚本或命令的功能，使攻击载体能够进一步感染受害者机器。”

如果没有收到来自服务器的响应，PowerRAT配备了解码和执行嵌入式PowerShell脚本的功能。到目前为止，分析的样本中没有一个是Base64编码的字符串，这表明恶意软件正在积极开发中。

使用嵌入恶意JavaScript的HTML文件的替代感染链，以类似的方式触发了一个多步骤的过程，导致DCRat恶意软件的部署。

Talos指出，当受害者点击网络钓鱼电子邮件中的恶意链接时，一个包含恶意JavaScript的远程HTML文件会在受害者机器的浏览器中打开，并同时执行JavaScript。JavaScript有一个恶意SFX RAR可执行文件的7-Zip存档的Base64编码数据blob。

存档文件（“vkmessenger.7z”）中存在——通过一种称为HTML走私的技术下载——是另一个受密码保护的SFX RAR，其中包含RAT有效负载。

值得注意的是，Netskope Threat Labs在利用冒充TrueConf和VK Messenger的假HTML页面来提供DCRat的活动中详细说明了确切的感染顺序。此外，在交付SparkRAT的活动中，以前观察到了嵌套自解压缩存档的使用。

Raghuprasad说，SFX RAR可执行文件与一些样本中的恶意加载器或滴管可执行文件、批处理文件和一个辈文档一起打包。

“SFX RAR将GOLoader和decoy文档Excel电子表格放入受害者机器用户配置文件应用程序临时文件夹中，并在打开decoy文档的同时运行GOLoader。”

基于Golang的加载器还被设计为通过指向现已删除的GitHub存储库的硬编码URL从远程位置检索DCRat二进制数据流，并将其作为“file.exe”保存在受害者计算机上的桌面文件夹中。

DCRat是一个模块化的RAT，可以窃取敏感数据，捕获屏幕截图和击键，并提供对受损系统的远程控制访问，并促进下载和执行其他文件。

Talos说，它通过创建几个Windows任务，以不同的间隔或在Windows登录过程中运行，在受害者机器上建立持久性。“RAT通过RAT配置文件中硬编码的URL与C2服务器通信[…]，并泄露从受害者机器收集的敏感数据。”

Cofense警告说，网络钓鱼活动将恶意内容纳入虚拟硬盘（VHD）文件中，以避免安全电子邮件网关（SEG）检测，并最终分发Remcos RAT或XWorm。

“威胁者发送电子邮件。安全研究员Kahng An说：“包含虚拟硬盘文件的ZIP存档附件或包含受害者可以安装和浏览的虚拟硬盘文件的嵌入式下载链接。”“从那里，受害者可能会被误导，运行恶意有效负载。”

参考来源：thehackernews