В России пользователи подверглись атаке новой фишинговой схемы, использующей инструмент Gophish с открытым исходным кодом для распространения вредоносных программ. Основной целью злоумышленников являются DarkCrystal RAT (DCRat) и новый троян для удалённого доступа под названием PowerRAT.
Кампания включает в себя сложные цепочки заражения, которые требуют вмешательства пользователя для их активации. Эти цепочки могут быть как на основе вредоносных вложений, так и HTML-ссылок, замаскированных под Яндекс Диск или социальную сеть VK.
Gophish — это платформа с открытым исходным кодом для фишинговых атак, позволяющая организациям тестировать свои системы защиты. Злоумышленники использовали Gophish для отправки фишинговых писем, которые затем внедряли DCRat или PowerRAT.
Когда жертва открывает вредоносное вложение и включает макросы, запускается VB-макрос для извлечения HTML-файла (HTA) и загрузчика PowerShell. HTA-файл загружает JavaScript-файл, который запускает PowerShell-загрузчик, маскирующийся под INI-файл.
Этот загрузчик содержит закодированный фрагмент данных полезной нагрузки PowerRAT. После декодирования и выполнения в памяти жертвы, вредоносная программа начинает системную разведку, собирает информацию о накопителе и подключается к удалённым серверам для получения дальнейших инструкций.