Penargetan pengguna berbahasa Rusia adalah penilaian yang berasal dari bahasa yang digunakan dalam email phishing, konten umpan dalam dokumen berbahaya, tautan yang menyamar sebagai Yandex Disk (“disk-yandex[.]ru”), dan halaman web HTML yang disamarkan sebagai VK, jaringan sosial yang banyak digunakan di negara tersebut.
Pelaku ancaman yang tidak diketahui di balik kampanye ini telah terlihat memanfaatkan toolkit untuk mengirimkan pesan phishing ke target mereka dan akhirnya mendorong DCRat atau PowerRAT tergantung pada vektor akses awal yang digunakan: Dokumen Microsoft Word berbahaya atau HTML yang menyematkan JavaScript.
Makro bertanggung jawab untuk mengonfigurasi kunci Registri Windows sehingga file HTA diluncurkan secara otomatis setiap kali pengguna masuk ke akun mereka di perangkat.
“Skrip pemuat PowerShell yang menyamar sebagai file INI berisi data blob yang dikodekan Base64 dari payload PowerRAT, yang didekodekan dan dijalankan dalam memori mesin korban,” kata Raghuprasad.
“[PowerRAT] memiliki fungsionalitas untuk menjalankan skrip atau perintah PowerShell lainnya sesuai arahan server [command-and-control], memungkinkan vektor serangan untuk infeksi lebih lanjut pada mesin korban.”
Rantai infeksi alternatif yang menggunakan file HTML yang disematkan dengan JavaScript berbahaya, dengan cara yang mirip, memicu proses multi-langkah yang mengarah ke penerapan malware DCRat.
Hadir dalam file arsip (“vkmessenger.7z”) – yang diunduh melalui teknik yang disebut penyelundupan HTML – adalah SFX RAR lain yang dilindungi kata sandi yang berisi payload RAT.
“Eksekusi RAR SFX dikemas dengan pemuat berbahaya atau eksekusi dropper, file batch, dan dokumen umpan dalam beberapa sampel,” kata Raghuprasad.
Pemuat berbasis Golang juga dirancang untuk mengambil aliran data biner DCRat dari lokasi jarak jauh melalui URL yang di-hardcode yang menunjuk ke repositori GitHub yang sekarang dihapus dan menyimpannya sebagai “file.exe” di folder desktop di mesin korban.
“Ia membangun ketahanan pada mesin korban dengan membuat beberapa tugas Windows untuk dijalankan pada interval yang berbeda atau selama proses masuk Windows,” kata Talos. “RAT berkomunikasi ke server C2 melalui URL yang di-hardcode dalam file konfigurasi RAT […] dan menyaring data sensitif yang dikumpulkan dari mesin korban.”
“Pelaku ancaman mengirimkan email dengan lampiran arsip .ZIP yang berisi file hard disk virtual atau tautan tertanam ke unduhan yang berisi file hard disk virtual yang dapat dipasang dan dijelajahi oleh korban,” kata peneliti keamanan Kahng An. “Dari sana, korban dapat disesatkan untuk menjalankan payload berbahaya.”