VietNetwork.Vn

Người dùng nói tiếng Nga đã trở thành mục tiêu của một chiến dịch lừa đảo mới sử dụng bộ công cụ lừa đảo nguồn mở có tên là Gophish để phát tán DarkCrystal RAT (hay còn gọi là DCRat) và một trojan truy cập từ xa chưa từng được ghi chép trước đây có tên là PowerRAT.

Nhà nghiên cứu Chetan Raghuprasad của Cisco Talos cho biết trong một bài phân tích hôm thứ Ba: "Chiến dịch này liên quan đến các chuỗi lây nhiễm mô-đun là các nhiễm trùng dựa trên Maldoc hoặc HTML và yêu cầu nạn nhân can thiệp để kích hoạt chuỗi lây nhiễm".

Việc nhắm mục tiêu vào người dùng nói tiếng Nga được đánh giá dựa trên ngôn ngữ được sử dụng trong email lừa đảo, nội dung hấp dẫn trong các tài liệu độc hại, các liên kết ngụy trang thành Yandex Disk ("disk-yandex[.]ru") và các trang web HTML ngụy trang thành VK, một mạng xã hội được sử dụng chủ yếu ở quốc gia này.

Gophish là một khuôn khổ chống lừa đảo mã nguồn mở cho phép các tổ chức kiểm tra khả năng phòng thủ chống lừa đảo bằng cách tận dụng các mẫu dễ sử dụng và triển khai các chiến dịch qua email có thể được theo dõi gần như theo thời gian thực.

Kẻ tấn công ẩn danh đứng sau chiến dịch này đã bị phát hiện lợi dụng bộ công cụ để gửi tin nhắn lừa đảo đến mục tiêu và cuối cùng là đưa DCRat hoặc PowerRAT vào tùy thuộc vào phương thức truy cập ban đầu được sử dụng: Tài liệu Microsoft Word độc hại hoặc HTML nhúng JavaScript.

Khi nạn nhân mở maldoc và kích hoạt macro, một macro Visual Basic (VB) độc hại sẽ được thực thi để trích xuất tệp ứng dụng HTML (HTA) ("UserCache.ini.hta") và trình tải PowerShell ("UserCache.ini").

Macro này có nhiệm vụ cấu hình khóa Windows Registry sao cho tệp HTA được tự động khởi chạy mỗi khi người dùng đăng nhập vào tài khoản của họ trên thiết bị.

Về phần mình, tệp HTA sẽ thả tệp JavaScript ("UserCacheHelper.lnk.js") chịu trách nhiệm thực thi PowerShell Loader. JavaScript được thực thi bằng tệp nhị phân Windows hợp lệ có tên là "cscript.exe".

Raghuprasad cho biết: "Tập lệnh tải PowerShell ngụy trang thành tệp INI chứa dữ liệu blob được mã hóa base64 của tải trọng PowerRAT, giải mã và thực thi trong bộ nhớ máy của nạn nhân".

Ngoài việc thực hiện trinh sát hệ thống, phần mềm độc hại còn thu thập số sê-ri ổ đĩa và kết nối với các máy chủ từ xa đặt tại Nga (94.103.85[.]47 hoặc 5.252.176[.]55) để nhận thêm hướng dẫn.


"[PowerRAT] có chức năng thực thi các tập lệnh hoặc lệnh PowerShell khác theo chỉ dẫn của máy chủ [chỉ huy và điều khiển], cho phép tấn công để lây nhiễm thêm vào máy nạn nhân."

Trong trường hợp không nhận được phản hồi từ máy chủ, PowerRAT được trang bị tính năng giải mã và thực thi tập lệnh PowerShell nhúng. Không có mẫu nào được phân tích cho đến nay có chuỗi được mã hóa Base64 trong đó, cho thấy phần mềm độc hại đang được phát triển tích cực.

Chuỗi lây nhiễm thay thế sử dụng các tệp HTML được nhúng JavaScript độc hại, theo cách tương tự, sẽ kích hoạt một quy trình gồm nhiều bước dẫn đến việc triển khai phần mềm độc hại DCRat.

"Khi nạn nhân nhấp vào liên kết độc hại trong email lừa đảo, một tệp HTML từ xa chứa JavaScript độc hại sẽ mở trong trình duyệt của máy nạn nhân và đồng thời thực thi JavaScript", Talos lưu ý. "JavaScript có một khối dữ liệu được mã hóa Base64 của tệp lưu trữ 7-Zip của tệp thực thi SFX RAR độc hại".

Có trong tệp lưu trữ ("vkmessenger.7z") – được tải xuống thông qua một kỹ thuật gọi là chuyển hướng HTML – là một tệp SFX RAR khác được bảo vệ bằng mật khẩu có chứa phần mềm RAT.

Điều đáng chú ý là trình tự lây nhiễm chính xác đã được Netskope Threat Labs nêu chi tiết liên quan đến một chiến dịch sử dụng các trang HTML giả mạo TrueConf và VK Messenger để phân phối DCRat. Hơn nữa, việc sử dụng kho lưu trữ tự giải nén lồng nhau đã được quan sát thấy trước đây trong các chiến dịch phân phối SparkRAT.

Raghuprasad cho biết: "Tệp thực thi SFX RAR được đóng gói cùng với các tệp thực thi tải hoặc thả độc hại, tệp lệnh và một tài liệu giả trong một số mẫu".


"SFX RAR sẽ thả GOLoader và bảng tính Excel của tài liệu giả vào thư mục tạm thời của ứng dụng hồ sơ người dùng trên máy nạn nhân và chạy GOLoader cùng với việc mở tài liệu giả."

Trình tải dựa trên Golang cũng được thiết kế để truy xuất luồng dữ liệu nhị phân DCRat từ một vị trí từ xa thông qua một URL được mã hóa cứng trỏ đến kho lưu trữ GitHub hiện đã bị xóa và lưu dưới dạng "file.exe" trong thư mục máy tính để bàn trên máy của nạn nhân.

DCRat là một RAT dạng mô-đun có thể đánh cắp dữ liệu nhạy cảm, chụp ảnh màn hình và thao tác phím, cung cấp quyền truy cập điều khiển từ xa vào hệ thống bị xâm phạm và tạo điều kiện tải xuống và thực thi các tệp bổ sung.

"Nó thiết lập tính bền bỉ trên máy nạn nhân bằng cách tạo ra một số tác vụ Windows để chạy ở các khoảng thời gian khác nhau hoặc trong quá trình đăng nhập Windows", Talos cho biết. "RAT giao tiếp với máy chủ C2 thông qua một URL được mã hóa cứng trong tệp cấu hình RAT [...] và trích xuất dữ liệu nhạy cảm thu thập được từ máy nạn nhân".

Sự phát triển này diễn ra khi Cofense cảnh báo về các chiến dịch lừa đảo kết hợp nội dung độc hại vào các tệp ổ cứng ảo (VHD) như một cách để tránh bị phát hiện bởi Cổng email an toàn (SEG) và cuối cùng là phân phối Remcos RAT hoặc XWorm.

"Những kẻ đe dọa gửi email có tệp đính   Đăng nhập để xem liên kết chứa các tệp ổ cứng ảo hoặc liên kết nhúng đến các tệp tải xuống có chứa tệp ổ cứng ảo mà nạn nhân có thể gắn kết và duyệt qua", nhà nghiên cứu bảo mật Kahng An cho biết. "Từ đó, nạn nhân có thể bị lừa chạy một phần mềm độc hại".