Pengguna telah menjadi target operasi phising baru yang memanfaatkan perangkat phising open source Gophish untuk mengirimkan DarkCrystal RAT (alias DCRat) dan trojan akses jarak jauh yang sebelumnya tidak terdokumentasi yang dijuluki PowerRAT.
operasi ini melibatkan rantai infeksi modular yang merupakan infeksi berbasis Maldoc atau HTML dan memerlukan intervensi korban untuk memicu rantai infeksi.
Penargetan pengguna berbahasa Rusia merupakan penilaian yang diperoleh dari bahasa yang digunakan dan dilihat dari:
- Dalam email phising.
- Konten yang memikat dalam dokumen berbahaya, tautan yang menyamar sebagai Yandex Disk (“disk-yandex[.]ru”).
- Dan halaman web HTML yang disamarkan sebagai VK, jaringan sosial yang sebagian besar digunakan di negara tersebut.
Gophish merujuk pada kerangka kerja phising open source yang memungkinkan organisasi menguji pertahanan phising mereka dengan memanfaatkan templat yang mudah digunakan dan meluncurkan operasi berbasis email yang kemudian dapat dilacak hampir secara real-time.
Phising Open Source Gophish
Pelaku di balik operasi tersebut telah diamati memanfaatkan perangkat tersebut untuk mengirim pesan phising ke target mereka dan akhirnya mendorong DCRat atau PowerRAT tergantung pada vektor akses awal yang digunakan:
- Dokumen Microsoft Word yang berbahaya atau
- JavaScript yang disematkan HTML.
Saat korban membuka maldoc dan mengaktifkan makro, makro Visual Basic (VB) jahat dijalankan untuk mengekstrak file aplikasi HTML (HTA) (“UserCache.ini.hta”) dan pemuat PowerShell (“UserCache.ini”).
Makro tersebut bertanggung jawab untuk mengonfigurasi kunci Windows Registry sehingga file HTA diluncurkan secara otomatis setiap kali pengguna masuk ke akun mereka di perangkat.
File HTA, pada bagiannya menyusupkan file JavaScript (“UserCacheHelper.lnk.js”) yang bertanggung jawab untuk menjalankan Pemuat PowerShell. JavaScript dijalankan menggunakan biner Windows yang sah bernama “cscript.exe.”
Skrip pemuat PowerShell yang menyamar sebagai berkas INI berisi kumpulan data berkode base64 dari muatan PowerRAT, yang didekode dan dijalankan dalam memori mesin korban.
Malware PowerRAT
Malware PowerRAT, selain melakukan pengintaian sistem, mengumpulkan nomor seri drive dan terhubung ke server jarak jauh yang berlokasi di Rusia.
- 94.103.85[.]47
- 5.252.176[.]55)
Nomor seri drive tersebut nantinya digunakan untuk menerima instruksi lebih lanjut.
[PowerRAT] memiliki fungsi untuk menjalankan skrip atau perintah PowerShell lain sebagaimana diarahkan oleh server [perintah-dan-kontrol], yang memungkinkan vektor serangan untuk infeksi lebih lanjut pada mesin korban.
Jika tidak ada respons yang diterima dari server, PowerRAT dilengkapi dengan fitur yang mendekode dan menjalankan skrip PowerShell yang tertanam.
Tidak ada sampel yang dianalisis sejauh ini yang memiliki string berkode Base64 di dalamnya, yang menunjukkan bahwa malware tersebut sedang dalam pengembangan aktif.
Rantai infeksi alternatif yang menggunakan file HTML yang disematkan dengan JavaScript berbahaya, dengan cara yang sama, memicu proses multi-langkah yang mengarah pada penyebaran malware DCRat.
Ketika korban mengeklik tautan berbahaya dalam email phising, file HTML yang berisi JavaScript berbahaya terbuka di browser mesin korban.
Dan secara bersamaan mengeksekusi JavaScript. JavaScript memiliki gumpalan data berkode Base64 dari arsip 7-Zip dari SFX RAR yang dapat dieksekusi.
Di dalam file arsip (“vkmessenger.7z”) – yang diunduh melalui teknik yang disebut penyelundupan HTML – terdapat SFX RAR lain yang dilindungi kata sandi yang berisi muatan RAT.
Urutan Infeksi
Perlu dicatat bahwa urutan infeksi yang tepat dirinci sehubungan dengan operasi yang memanfaatkan halaman HTML palsu yang meniru TrueConf dan VK Messenger untuk mengirimkan DCRat.
Lebih jauh, penggunaan arsip ekstraksi mandiri bersarang sebelumnya telah diamati dalam operasi yang mengirimkan SparkRAT.
SFX RAR yang dapat dieksekusi dikemas dengan loader atau dropper executable yang berbahaya, file batch, dan dokumen umpan dalam beberapa sampel.
SFX RAR membuang GOLoader dan lembar kerja Excel dokumen umpan di folder sementara aplikasi profil pengguna mesin korban dan menjalankan GOLoader bersamaan dengan membuka dokumen umpan.
Loader berbasis Golang juga dirancang untuk mengambil aliran data biner DCRat dari lokasi jarak jauh melalui URL berkode keras yang mengarah ke repositori GitHub yang sekarang telah dihapus dan menyimpannya sebagai “file.exe” di folder desktop pada mesin korban.
Fungsi DCRat
DCRat adalah RAT modular yang dapat mencuri data sensitif, menangkap tangkapan layar dan penekanan tombol, serta menyediakan akses kendali jarak jauh ke sistem yang disusupi dan memfasilitasi pengunduhan dan eksekusi file tambahan.
Ia membangun persistensi pada mesin korban dengan membuat beberapa tugas Windows untuk dijalankan pada interval yang berbeda atau selama proses login Windows.
RAT berkomunikasi dengan server C2 melalui URL yang dikodekan secara permanen dalam file konfigurasi RAT […] dan mengekstrak data sensitif yang dikumpulkan dari mesin korban.
Peneliti telah memperingatkan tentang operasi phising yang memasukkan konten berbahaya dalam file hard disk virtual (VHD) sebagai cara untuk menghindari deteksi oleh Secure Email Gateway (SEG) dan akhirnya mendistribusikan Remcos RAT atau XWorm.
Pelaku mengirim email dengan lampiran arsip .ZIP yang berisi file hard drive virtual atau tautan tertanam ke unduhan yang berisi file hard drive virtual yang dapat dipasang dan dijelajahi oleh korban.
Dari sana, korban dapat disesatkan untuk menjalankan muatan berbahaya yang pada akhirnya merugikan pengguna. informasi
Baca lainnya:
- Remote Access Phising
- Ajang Pengelabuan Saat Berlibur
- Pengelabuan Eksploitasi TLD
- Dominasi Business Email Compromise
- Phising Layanan Microsoft 365
- Phising Masalah Siber Terbesar
- Subyek Umum dalam Phising
- Qbot Menyebar Melalui Phising
- Phising QRIS
- Layanan Phising Telegram
Sumber berita: