據(jù)The Hacker News消息，名為Gophish 的開源網(wǎng)絡(luò)釣魚工具包正被攻擊者用來(lái)制作DarkCrystal RAT（又名 DCRat）和PowerRAT 遠(yuǎn)程訪問(wèn)木馬，目標(biāo)針對(duì)俄國(guó)用戶。

Gophish 允許組織通過(guò)利用簡(jiǎn)易的模板來(lái)測(cè)試其網(wǎng)絡(luò)釣魚防御措施，并啟動(dòng)基于電子郵件的跟蹤活動(dòng)。但攻擊者利用Gophish制作網(wǎng)絡(luò)釣魚郵件，并偽裝成Yandex Disk 鏈接（“disk-yandex[.]ru“），以及偽裝成 VK 的 HTML 網(wǎng)頁(yè)，VK 是俄羅斯最主要使用的社交網(wǎng)絡(luò)。

感染鏈

據(jù)觀察，攻擊者根據(jù)所使用的初始訪問(wèn)載體推送包含DCRat 或 PowerRAT惡意木馬的Microsoft Word 文檔或嵌入 JavaScript 的 HTML。當(dāng)受害者打開 maldoc 并啟用宏時(shí)，就會(huì)執(zhí)行一個(gè)惡意 Visual Basic (VB) 來(lái)提取 HTML 應(yīng)用程序 (HTA) 文件（"UserCache.ini.hta"）和 PowerShell 加載器（"UserCache.ini"）。該宏負(fù)責(zé)配置 Windows 注冊(cè)表項(xiàng)，以便每次用戶在設(shè)備上登錄其帳戶時(shí)都會(huì)自動(dòng)啟動(dòng) HTA 文件。

HTA 會(huì)刪除一個(gè)負(fù)責(zé)執(zhí)行 PowerShell 加載程序的 JavaScript 文件（“UserCacheHelper.lnk.js”）。JavaScript 使用名為“cscript.exe”的合法 Windows 二進(jìn)制文件執(zhí)行。

研究人員稱，偽裝成 INI 文件的 PowerShell 加載程序腳本包含PowerRAT 的 base64 編碼數(shù)據(jù)塊有效載荷 ，該數(shù)據(jù)塊在受害者的機(jī)器內(nèi)存中解碼和執(zhí)行。

除了執(zhí)行系統(tǒng)偵察外，該惡意軟件還會(huì)收集驅(qū)動(dòng)器序列號(hào)并連接到位于俄羅斯的遠(yuǎn)程服務(wù)器以接收進(jìn)一步的指示。如果未從服務(wù)器收到響應(yīng)，PowerRAT 將配備解碼和執(zhí)行嵌入式 PowerShell 腳本的功能。到目前為止，分析的樣本中沒(méi)有一個(gè)包含 Base64 編碼的字符串，表明該惡意軟件正在積極開發(fā)中。

與此類似，采用嵌入惡意 JavaScript 的 HTML 文件的替代感染鏈會(huì)觸發(fā)一個(gè)多步驟過(guò)程，從而導(dǎo)致部署 DCRat 惡意軟件。

DCRat 是一種模塊化的惡意軟件 ，可以竊取敏感數(shù)據(jù)、捕獲屏幕截圖和擊鍵，提供對(duì)受感染系統(tǒng)的遠(yuǎn)程控制訪問(wèn)，并導(dǎo)致其他文件的下載和執(zhí)行。

除了俄羅斯，在臨近的烏克蘭、白俄羅斯、哈薩克斯坦、烏茲別克斯坦和阿塞拜疆也監(jiān)測(cè)到了惡意活動(dòng)，顯示整個(gè)俄語(yǔ)片區(qū)使用者都是攻擊者的針對(duì)目標(biāo)。