Anonymous Sudan: Κατηγορούνται για DDoS επιθέσεις
24 Οκτωβρίου, 2024Το Pinterest κατηγορείται για εκμετάλλευση προσωπικών δεδομένων χρηστών
29 Οκτωβρίου, 2024Μια νέα εκστρατεία phishing στοχεύει ρωσόφωνους χρήστες, αξιοποιώντας το ανοιχτού κώδικα εργαλείο Gophish για τη διανομή του DarkCrystal RAT (γνωστό και ως DCRat) και ενός νέου απομακρυσμένου trojan με την ονομασία PowerRAT.
Σύμφωνα με ανάλυση της Cisco Talos, η καμπάνια βασίζεται σε αλυσιδωτές επιθέσεις που απαιτούν την αλληλεπίδραση των θυμάτων, ξεκινώντας από κακόβουλα έγγραφα Microsoft Word ή αρχεία HTML με ενσωματωμένο JavaScript.
Τα phishing μηνύματα είναι στα ρωσικά, με συνδέσμους που μοιάζουν με το Yandex Disk ή την κοινωνική πλατφόρμα VK, και αποστέλλονται μέσω του εργαλείου Gophish. Όταν οι χρήστες ανοίγουν τα κακόβουλα έγγραφα και ενεργοποιούν μακροεντολές, εκτελούνται αρχεία PowerShell που εγκαθιστούν το PowerRAT. Το PowerRAT μπορεί να εκτελεί άλλες εντολές PowerShell και να συνεχίζει την επίθεση αν δεν λάβει απάντηση από τον διακομιστή C2 (Command-and-Control).
Εναλλακτικά, τα αρχεία HTML με JavaScript ενεργοποιούν την εγκατάσταση του DCRat μέσω μιας πολυεπίπεδης διαδικασίας. Το DCRat έχει δυνατότητες απομακρυσμένου ελέγχου, συλλογής ευαίσθητων δεδομένων και εκτέλεσης επιπλέον αρχείων, διατηρώντας ταυτόχρονα μόνιμη πρόσβαση στο σύστημα του θύματος μέσω προγραμματισμένων Windows tasks.
Η εκστρατεία χρησιμοποιεί επίσης τεχνικές όπως το HTML smuggling και αρχεία SFX RAR, περιέχοντας κακόβουλα φορτία που εκτελούν τους ιούς. Παρόμοιες καμπάνιες έχουν παρατηρηθεί να χρησιμοποιούν το SparkRAT και Golang-based loaders, τα οποία εγκαθιστούν το DCRat μέσω κακόβουλων συνδέσμων και ψεύτικων εγγράφων.
Η χρήση αρχείων VHD (Virtual Hard Disk) για την παράκαμψη των συστημάτων ανίχνευσης αναδεικνύει τις εξελιγμένες τακτικές των hackers, οι οποίοι χρησιμοποιούν και άλλους RATs όπως Remcos RAT και XWorm.