據(jù)The Hacker News消息，名為Gophish 的開源網(wǎng)絡(luò)釣魚工具包正被攻擊者用來制作DarkCrystal RAT（又名 DCRat）和PowerRAT 遠(yuǎn)程訪問木馬，目標(biāo)針對俄國用戶。

Gophish 允許組織通過利用簡易的模板來測試其網(wǎng)絡(luò)釣魚防御措施，并啟動基于電子郵件的跟蹤活動。但攻擊者利用Gophish制作網(wǎng)絡(luò)釣魚郵件，并偽裝成Yandex Disk 鏈接（“disk-yandex[.]ru“），以及偽裝成 VK 的 HTML 網(wǎng)頁，VK 是俄羅斯最主要使用的社交網(wǎng)絡(luò)。

感染鏈

據(jù)觀察，攻擊者根據(jù)所使用的初始訪問載體推送包含DCRat 或 PowerRAT惡意木馬的Microsoft Word 文檔或嵌入 JavaScript 的 HTML。當(dāng)受害者打開 maldoc 并啟用宏時，就會執(zhí)行一個惡意 Visual Basic (VB) 來提取 HTML 應(yīng)用程序 (HTA) 文件（"UserCache.ini.hta"）和 PowerShell 加載器（"UserCache.ini"）。該宏負(fù)責(zé)配置 Windows 注冊表項，以便每次用戶在設(shè)備上登錄其帳戶時都會自動啟動 HTA 文件。

HTA 會刪除一個負(fù)責(zé)執(zhí)行 PowerShell 加載程序的 JavaScript 文件（“UserCacheHelper.lnk.js”）。JavaScript 使用名為“cscript.exe”的合法 Windows 二進(jìn)制文件執(zhí)行。

研究人員稱，偽裝成 INI 文件的 PowerShell 加載程序腳本包含PowerRAT 的 base64 編碼數(shù)據(jù)塊有效載荷 ，該數(shù)據(jù)塊在受害者的機器內(nèi)存中解碼和執(zhí)行。

除了執(zhí)行系統(tǒng)偵察外，該惡意軟件還會收集驅(qū)動器序列號并連接到位于俄羅斯的遠(yuǎn)程服務(wù)器以接收進(jìn)一步的指示。如果未從服務(wù)器收到響應(yīng)，PowerRAT 將配備解碼和執(zhí)行嵌入式 PowerShell 腳本的功能。到目前為止，分析的樣本中沒有一個包含 Base64 編碼的字符串，表明該惡意軟件正在積極開發(fā)中。

與此類似，采用嵌入惡意 JavaScript 的 HTML 文件的替代感染鏈會觸發(fā)一個多步驟過程，從而導(dǎo)致部署 DCRat 惡意軟件。

DCRat 是一種模塊化的惡意軟件 ，可以竊取敏感數(shù)據(jù)、捕獲屏幕截圖和擊鍵，提供對受感染系統(tǒng)的遠(yuǎn)程控制訪問，并導(dǎo)致其他文件的下載和執(zhí)行。

除了俄羅斯，在臨近的烏克蘭、白俄羅斯、哈薩克斯坦、烏茲別克斯坦和阿塞拜疆也監(jiān)測到了惡意活動，顯示整個俄語片區(qū)使用者都是攻擊者的針對目標(biāo)。