Pengguna berbahasa Rusia menjadi target kampanye phishing baru yang memanfaatkan toolkit phishing open-source bernama Gophish untuk mengirimkan DarkCrystal RAT (alias DCRat) dan trojan akses jarak jauh yang sebelumnya tidak terdokumentasi yang dijuluki PowerRAT.
"Kampanye ini melibatkan rantai infeksi modular yang merupakan infeksi berbasis Maldoc atau HTML dan membutuhkan intervensi korban untuk memicu rantai infeksi," kata peneliti Cisco Talos Chetan Raghuprasad dalam analisis Selasa.
Penargetan pengguna berbahasa Rusia adalah penilaian yang berasal dari bahasa yang digunakan dalam email phishing, konten umpan dalam dokumen berbahaya, tautan yang menyamar sebagai Yandex Disk ("disk-yandex[.]ru"), dan halaman web HTML yang disamarkan sebagai VK, jaringan sosial yang banyak digunakan di negara tersebut.
Gophish mengacu pada kerangka kerja phishing open-source yang memungkinkan organisasi untuk menguji pertahanan phishing mereka dengan memanfaatkan templat yang mudah digunakan dan meluncurkan kampanye berbasis email yang kemudian dapat dilacak secara real-time.
Pelaku ancaman yang tidak diketahui di balik kampanye ini telah terlihat memanfaatkan toolkit untuk mengirimkan pesan phishing ke target mereka dan akhirnya mendorong DCRat atau PowerRAT tergantung pada vektor akses awal yang digunakan: Dokumen Microsoft Word berbahaya atau HTML yang menyematkan JavaScript.
Ketika korban membuka maldoc dan mengaktifkan makro, makro Visual Basic (VB) jahat dijalankan untuk mengekstrak file aplikasi HTML (HTA) ("UserCache.ini.hta") dan pemuat PowerShell ("UserCache.ini").
Makro bertanggung jawab untuk mengonfigurasi kunci Registri Windows sehingga file HTA diluncurkan secara otomatis setiap kali pengguna masuk ke akun mereka di perangkat.
File HTA, pada bagiannya, melepaskan file JavaScript ("UserCacheHelper.lnk.js") yang bertanggung jawab untuk menjalankan PowerShell Loader. JavaScript dijalankan menggunakan biner Windows yang sah bernama "cscript.exe."
"Skrip pemuat PowerShell yang menyamar sebagai file INI berisi data blob yang dikodekan Base64 dari payload PowerRAT, yang didekodekan dan dijalankan dalam memori mesin korban," kata Raghuprasad.
Malware tersebut, selain melakukan pengintaian sistem, mengumpulkan nomor seri drive dan terhubung ke server jarak jauh yang terletak di Rusia (94.103.85[.]47 atau 5.252.176[.]55) untuk menerima instruksi lebih lanjut.
"[PowerRAT] memiliki fungsionalitas untuk menjalankan skrip atau perintah PowerShell lainnya sesuai arahan server [command-and-control], memungkinkan vektor serangan untuk infeksi lebih lanjut pada mesin korban."
Jika tidak ada respons yang diterima dari server, PowerRAT dilengkapi dengan fitur yang mendekodekan dan menjalankan skrip PowerShell yang disematkan. Tidak satu pun sampel yang dianalisis sejauh ini memiliki string yang dikodekan Base64 di dalamnya, menunjukkan bahwa malware sedang dalam pengembangan aktif.
Rantai infeksi alternatif yang menggunakan file HTML yang disematkan dengan JavaScript berbahaya, dengan cara yang mirip, memicu proses multi-langkah yang mengarah ke penerapan malware DCRat.
"Ketika korban mengklik tautan berbahaya di email phishing, file HTML yang terletak dari jarak jauh yang berisi JavaScript berbahaya terbuka di browser mesin korban dan secara bersamaan menjalankan JavaScript," kata Talos. "JavaScript memiliki data blob yang dikodekan Base64 dari arsip 7-Zip dari eksekusi RAR SFX berbahaya."
Hadir dalam file arsip ("vkmessenger.7z") - yang diunduh melalui teknik yang disebut penyelundupan HTML - adalah SFX RAR lain yang dilindungi kata sandi yang berisi payload RAT.
Penting untuk dicatat bahwa urutan infeksi yang tepat dirinci oleh Netskope Threat Labs sehubungan dengan kampanye yang memanfaatkan halaman HTML palsu yang menyamar sebagai TrueConf dan VK Messenger untuk mengirimkan DCRat. Selain itu, penggunaan arsip self-extracting yang bersarang sebelumnya telah diamati dalam kampanye yang mengirimkan SparkRAT.
"Eksekusi RAR SFX dikemas dengan pemuat berbahaya atau eksekusi dropper, file batch, dan dokumen umpan dalam beberapa sampel," kata Raghuprasad.
"SFX RAR melepaskan GOLoader dan spreadsheet Excel dokumen umpan dalam folder sementara aplikasi profil pengguna mesin korban dan menjalankan GOLoader bersama dengan membuka dokumen umpan."
Pemuat berbasis Golang juga dirancang untuk mengambil aliran data biner DCRat dari lokasi jarak jauh melalui URL yang di-hardcode yang menunjuk ke repositori GitHub yang sekarang dihapus dan menyimpannya sebagai "file.exe" di folder desktop di mesin korban.
DCRat adalah RAT modular yang dapat mencuri data sensitif, menangkap tangkapan layar dan keystroke, dan memberikan akses kendali jarak jauh ke sistem yang diretas dan memfasilitasi pengunduhan dan eksekusi file tambahan.
"Ia membangun ketahanan pada mesin korban dengan membuat beberapa tugas Windows untuk dijalankan pada interval yang berbeda atau selama proses masuk Windows," kata Talos. "RAT berkomunikasi ke server C2 melalui URL yang di-hardcode dalam file konfigurasi RAT [...] dan menyaring data sensitif yang dikumpulkan dari mesin korban."
Perkembangan ini muncul ketika Cofense telah memperingatkan tentang kampanye phishing yang menggabungkan konten berbahaya dalam file hard disk virtual (VHD) sebagai cara untuk menghindari deteksi oleh Secure Email Gateways (SEG) dan akhirnya mendistribusikan Remcos RAT atau XWorm.
"Pelaku ancaman mengirimkan email dengan lampiran arsip .ZIP yang berisi file hard disk virtual atau tautan tertanam ke unduhan yang berisi file hard disk virtual yang dapat dipasang dan dijelajahi oleh korban," kata peneliti keamanan Kahng An. "Dari sana, korban dapat disesatkan untuk menjalankan payload berbahaya."
0 komentar:
Posting Komentar