Új PowerRAT és DCRAT szállítás Gophish-sel
A Cisco Talos nemrégiben felfedezett egy adathalászkampányt, amelyben egy ismeretlen fenyegető szereplő a Gophish (egy nyílt forráskódú adathalász keretrendszerre, amely lehetővé teszi a szervezetek számára, hogy teszteljék adathalászat elleni védelmüket) nevű nyílt forráskódú adathalász eszközkészletet használta. A kampány moduláris fertőzési láncokat tartalmaz, amelyek vagy Maldoc- vagy HTML-alapú fertőzések, és az áldozat beavatkozását igénylik a fertőzési lánc elindításához. A Talos felfedezett egy korábban nem dokumentált PowerShell RAT-ot, amelyet PowerRAT-nak neveznek, valamint azonosították a hírhedt DarkCrystal RAT-ot (más néven DCRat) is a kampányban.
A kampány valószínűleg orosz felhasználókat célzott meg az adathalász e-mailekben használt nyelvezetből, a rosszindulatú dokumentumokban található csalogató tartalmakból, a Yandex Disknek („disk-yandex[.]ru”) álcázott linkekből és az országban túlnyomórészt használt közösségi hálózatnak, a VK-nak álcázott HTML weboldalak miatt.
A kampány mögött álló ismeretlen fenyegető szereplő megfigyelések szerint kihasználja az eszközkészletet, hogy adathalász üzeneteket küldjön a célpontjainak, és végül a DCRat vagy PowerRAT-ot helyezze el az eszközökön, a használt kezdeti hozzáférési vektortól függően: egy rosszindulatú Microsoft Word dokumentum vagy egy JavaScriptet beágyazó HTML.
