Framework de Gophish utilizado en campañas de phishing para desplegar troyanos de acceso remoto

XPoint
Publicado el 23/10/2024

Los usuarios de habla rusa han sido el objetivo de una nueva campaña de phishing que utiliza una herramienta de phishing de código abierto llamada Gophish para entregar DarkCrystal RAT (también conocido como DCRat) y un troyano de acceso remoto previamente desconocido, llamado PowerRAT.

“La campaña implica cadenas de infección modulares que utilizan archivos maliciosos o infecciones basadas en HTML y requieren la intervención de la víctima para activar la cadena de infección”, señaló el investigador de Cisco Talos, Chetan Raghuprasad, en un análisis publicado el martes.

El enfoque en los usuarios de habla rusa se deriva del idioma utilizado en los correos electrónicos de phishing, el contenido señuelo en los documentos maliciosos, los enlaces disfrazados como Yandex Disk (“disk-yandex[.]ru”), y las páginas web HTML que se hacen pasar por VK, una red social predominantemente utilizada en ese país.

Gophish es un marco de phishing de código abierto que permite a las organizaciones probar sus defensas contra phishing utilizando plantillas fáciles de usar y lanzar campañas basadas en correo electrónico que se pueden rastrear en tiempo real.

Se ha observado que el actor detrás de la campaña aprovecha esta herramienta para enviar mensajes de phishing a sus objetivos y finalmente instalar DCRat o PowerRAT, dependiendo del vector de acceso inicial utilizado: un documento de Microsoft Word malicioso o un archivo HTML con JavaScript incrustado.

Ciberseguridad

Cuando la víctima abre el documento malicioso y habilita macros, se ejecuta una macro de Visual Basic (VB) que extrae un archivo de aplicación HTML (HTA) (“UserCache.ini.hta”) y un cargador de PowerShell (“UserCache.ini”). La macro configura una clave de Registro de Windows para que el archivo HTA se ejecute automáticamente cada vez que el usuario inicie sesión en su dispositivo.

El archivo HTA, por su parte, deja caer un archivo JavaScript (“UserCacheHelper.lnk.js”) que ejecuta el cargador de PowerShell. Este JavaScript se ejecuta mediante un binario legítimo de Windows llamado “cscript.exe”.

“El script del cargador de PowerShell, que se hace pasar por el archivo INI, contiene un blob de datos codificado en base64 del payload PowerRAT, que se decodifica y ejecuta en la memoria de la máquina de la víctima”, indicó Raghuprasad.

El malware, además de realizar un reconocimiento del sistema, recopila el número de serie de la unidad y se conecta a servidores remotos ubicados en Rusia (94.103.85[.]47 o 5.252.176[.]55) para recibir más instrucciones.

“PowerRAT tiene la capacidad de ejecutar otros scripts o comandos de PowerShell según lo indique el servidor de [comando y control] (C2), habilitando vectores de ataque para nuevas infecciones en la máquina de la víctima”.

En caso de no recibir respuesta del servidor, PowerRAT está equipado con una función que decodifica y ejecuta un script de PowerShell incrustado. Ninguna de las muestras analizadas hasta ahora contiene cadenas codificadas en Base64, lo que indica que el malware está en desarrollo activo.

La cadena de infección alternativa, que emplea archivos HTML con JavaScript malicioso incrustado, desencadena un proceso en varios pasos que lleva al despliegue del malware DCRat.

“Cuando una víctima hace clic en el enlace malicioso en el correo electrónico de phishing, un archivo HTML remoto con JavaScript malicioso se abre en el navegador de la víctima y ejecuta simultáneamente el JavaScript”, señaló Talos. “El JavaScript contiene un blob de datos codificados en Base64 de un archivo comprimido 7-Zip que contiene un ejecutable SFX RAR malicioso”.

Dentro del archivo (“vkmessenger.7z”), que se descarga mediante una técnica llamada HTML smuggling, hay otro SFX RAR protegido con contraseña que contiene el payload del RAT.

Ciberseguridad

Vale la pena señalar que la secuencia exacta de infección fue detallada por Netskope Threat Labs en relación con una campaña que utilizaba páginas HTML falsas que se hacían pasar por TrueConf y VK Messenger para entregar DCRat. Además, se ha observado el uso de un archivo de autoextracción anidado en campañas que distribuyen SparkRAT.

“El ejecutable SFX RAR está empaquetado con el cargador o ejecutable dropper malicioso, un archivo por lotes y un documento señuelo en algunas muestras”, dijo Raghuprasad.

“El SFX RAR deja caer el GOLoader y el documento señuelo (una hoja de cálculo de Excel) en la carpeta temporal del perfil de usuario en la máquina de la víctima y ejecuta el GOLoader junto con la apertura del documento señuelo”.

El cargador basado en Golang también está diseñado para recuperar el flujo de datos binarios de DCRat desde una ubicación remota a través de una URL codificada que apunta a un repositorio de GitHub ahora eliminado y guardarlo como “file.exe” en la carpeta de escritorio de la máquina de la víctima.

DCRat es un RAT modular que puede robar datos sensibles, capturar capturas de pantalla y pulsaciones de teclas, proporcionar acceso remoto al sistema comprometido y facilitar la descarga y ejecución de archivos adicionales.

“Establece persistencia en la máquina de la víctima creando varias tareas de Windows para ejecutarse en diferentes intervalos o durante el proceso de inicio de sesión de Windows”, señaló Talos. “El RAT se comunica con el servidor de C2 a través de una URL codificada en el archivo de configuración de RAT […] y exfiltra los datos sensibles recopilados de la máquina de la víctima”.

El desarrollo coincide con la advertencia de Cofense sobre campañas de phishing que incorporan contenido malicioso dentro de archivos de disco duro virtual (VHD) como una forma de evadir la detección por las pasarelas de correo electrónico seguras (SEG) y, en última instancia, distribuir Remcos RAT o XWorm.

“Los actores de amenazas envían correos electrónicos con archivos adjuntos .ZIP que contienen archivos de disco duro virtual o enlaces incrustados para descargas que contienen un archivo de disco duro virtual que se puede montar y explorar por la víctima”, explicó el investigador de seguridad Kahng An. “Desde allí, la víctima puede ser engañada para ejecutar un payload malicioso”.

 


 

English

Gophish Framework Used in Phishing Campaigns to Deploy Remote Access Trojans

Russian-speaking users have become the target of a new phishing campaign that leverages an open-source phishing toolkit called Gophish to deliver DarkCrystal RAT (also known as DCRat) and a previously undocumented remote access trojan called PowerRAT.

“The campaign involves modular infection chains that are either Maldoc or HTML-based infections and require the victim’s intervention to trigger the infection chain,” Cisco Talos researcher Chetan Raghuprasad said in a Tuesday analysis.

The targeting of Russian-speaking users is derived from the language used in the phishing emails, the lure content in the malicious documents, links disguised as Yandex Disk (“disk-yandex[.]ru”), and HTML web pages posing as VK, a social network predominantly used in that country.

Gophish refers to an open-source phishing framework that allows organizations to test their phishing defenses by using easy-to-use templates and launching email-based campaigns that can be tracked in real-time.

The unknown threat actor behind the campaign has been observed using the toolkit to send phishing messages to their targets and ultimately push DCRat or PowerRAT depending on the initial access vector: a malicious Microsoft Word document or an HTML file embedding JavaScript.

Cybersecurity

When the victim opens the maldoc and enables macros, a rogue Visual Basic (VB) macro is executed to extract an HTML application (HTA) file (“UserCache.ini.hta”) and a PowerShell loader (“UserCache.ini”). The macro configures a Windows Registry key so that the HTA file is automatically launched every time the user logs into their device.

The HTA file, in turn, drops a JavaScript file (“UserCacheHelper.lnk.js”) that executes the PowerShell loader. This JavaScript is executed using a legitimate Windows binary called “cscript.exe.”

“The PowerShell loader script masquerading as the INI file contains a Base64-encoded data blob of the PowerRAT payload, which is decoded and executed in the victim’s machine memory,” Raghuprasad said.

The malware, in addition to performing system reconnaissance, collects the drive serial number and connects to remote servers located in Russia (94.103.85[.]47 or 5.252.176[.]55) to receive further instructions.

“PowerRAT has the functionality to execute other PowerShell scripts or commands as directed by the [command-and-control] server, enabling further infections on the victim’s machine.”

In the event no response is received from the server, PowerRAT comes equipped with a feature that decodes and executes an embedded PowerShell script. None of the analyzed samples thus far contain Base64-encoded strings, indicating that the malware is under active development.

The alternate infection chain that employs HTML files embedded with malicious JavaScript triggers a multi-step process that leads to the deployment of DCRat malware.

“When a victim clicks on the malicious link in the phishing email, a remotely located HTML file containing the malicious JavaScript opens in the victim’s browser and simultaneously executes the JavaScript,” Talos noted. “The JavaScript contains a Base64-encoded data blob of a 7-Zip archive of a malicious SFX RAR executable.”

Present within the archive file (“vkmessenger.7z”)—which is downloaded using a technique called HTML smuggling—is another password-protected SFX RAR containing the RAT payload.

Cybersecurity

It is worth noting that the exact infection sequence was detailed by Netskope Threat Labs in connection with a campaign that used fake HTML pages impersonating TrueConf and VK Messenger to deliver DCRat. Additionally, the use of a nested self-extracting archive has been observed in campaigns delivering SparkRAT.

“The SFX RAR executable is packaged with the malicious loader or dropper executables, a batch file, and a decoy document in some samples,” Raghuprasad said.

“The SFX RAR drops the GOLoader and the decoy Excel spreadsheet in the victim’s user profile applications temporary folder and runs the GOLoader along with opening the decoy document.”

The Golang-based loader is also designed to retrieve the DCRat binary data stream from a remote location via a hard-coded URL pointing to a now-removed GitHub repository, saving it as “file.exe” on the victim’s desktop.

DCRat is a modular RAT that can steal sensitive data, capture screenshots and keystrokes, provide remote control access to the compromised system, and facilitate the download and execution of additional files.

“It establishes persistence on the victim’s machine by creating several Windows tasks to run at different intervals or during the Windows login process,” Talos said. “The RAT communicates with the C2 server via a URL hardcoded in the RAT configuration file […] and exfiltrates the sensitive data collected from the victim’s machine.”

This development comes as Cofense has warned of phishing campaigns incorporating malicious content within virtual hard disk (VHD) files as a way to avoid detection by Secure Email Gateways (SEGs) and ultimately distribute Remcos RAT or XWorm.

“Threat actors send emails with .ZIP archive attachments containing virtual hard drive files or embedded links to downloads that contain a virtual hard drive file that can be mounted and browsed by the victim,” security researcher Kahng An said. “From there, the victim can be misled into running a malicious payload.”

Preguntas frecuentes

¿Qué es Gophish?

+

Gophish es una herramienta de código abierto diseñada para facilitar la realización de campañas de phishing

¿Para que sirve el Pentesting?

+

El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

+

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

  1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
  2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
  3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
  4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos