攻擊者正濫用Gophish傳播遠端存取木馬程序

2024.10.23

根據The Hacker News消息,名為Gophish 的開源網路釣魚工具包正被攻擊者用來製作DarkCrystal RAT(又名DCRat)和PowerRAT 遠端存取木馬,目標針對俄國用戶。

Gophish 允許組織透過利用簡易的範本來測試其網路釣魚防禦措施,並啟動基於電子郵件的追蹤活動。但攻擊者利用Gophish製作網路釣魚郵件,並偽裝成Yandex Disk 連結(「disk-yandex[.]ru「),以及偽裝成VK 的HTML 網頁,VK 是俄羅斯最主要使用的社群網路。

據觀察,攻擊者根據所使用的初始存取載體推送包含DCRat 或PowerRAT惡意木馬的Microsoft Word 文件或嵌入JavaScript 的HTML。當受害者開啟maldoc 並啟用巨集時,就會執行一個惡意Visual Basic (VB) 來擷取HTML 應用程式(HTA) 檔案("UserCache.ini.hta")和PowerShell 載入器("UserCache.ini")。此巨集負責配置Windows 註冊表項,以便每次使用者在裝置上登入其帳戶時都會自動啟動HTA 檔案。

HTA 會刪除一個負責執行PowerShell 載入程式的JavaScript 檔案(「UserCacheHelper.lnk.js」)。 JavaScript 使用名為「cscript.exe」的合法Windows 二進位檔案執行。

研究人員稱,偽裝成INI 檔案的PowerShell 載入器腳本包含PowerRAT 的base64 編碼資料塊有效載荷,該資料塊在受害者的機器記憶體中解碼和執行。

除了執行系統偵察外,該惡意軟體還會收集磁碟機序號並連接到位於俄羅斯的遠端伺服器以接收進一步的指示。如果未從伺服器收到回應,PowerRAT 將配備解碼和執行嵌入式PowerShell 腳本的功能。到目前為止,分析的樣本中沒有一個包含Base64 編碼的字串,表示該惡意軟體正在積極開發中。

與此類似,採用嵌入惡意JavaScript 的HTML 檔案的替代感染鏈會觸發一個多步驟流程,從而導致部署DCRat 惡意軟體。

DCRat 是一種模組化的惡意軟體,可以竊取敏感資料、捕獲螢幕截圖和擊鍵,提供對受感染系統的遠端控制訪問,並導致其他文件的下載和執行。

除了俄羅斯,在臨近的烏克蘭、白俄羅斯、哈薩克、烏茲別克和亞塞拜然也監測到了惡意活動,顯示整個俄語片區使用者都是攻擊者的目標。