DesckVB RAT
A Huntress egy új, DesckVB RAT terjesztésére szolgáló többlépcsős adathalász kampányt elemzett, amelynek különlegessége, hogy a támadók a fertőzési lánc elején a Google tulajdonában lévő DoubleClick hirdetéskövető infrastruktúrát használják átirányításra. Mivel az ad.doubleclick.net magas reputációjú domain, számos levelező- és webszűrő megoldás kevésbé tekinti gyanúsnak.
A támadás egy HTML-melléklettel indul, amely megnyitás után a DoubleClick-en keresztül egy dinamikusan generált adathalász oldalra irányítja az áldozatot. A rendszer a célpont e-mail-címét automatikusan kiolvassa az URL-ből, majd valós időben felépíti a vállalati arculatot, beleértve a cég logóját és egyéb azonosító elemeket. Ez lehetővé teszi, hogy ugyanazt a phishing készletet nagyszámú szervezet ellen használják külön testreszabás nélkül.
A PDF letöltése gombra kattintás után egy ZIP-állomány érkezik, amely egy ötlépcsős fertőzési láncot indít el: HTML → JScript → PowerShell → .NET betöltő → DesckVB RAT. A végrehajtás nagyrészt memóriában történik, .NET reflexiós technikákat alkalmazva, így minimális nyomot hagy a lemezen. A betöltő környezetvizsgálatot is végez, amennyiben elemző- vagy sandboxkörnyezetet észlel, megszakítja a futást, sőt bizonyos esetekben újraindítja a rendszert a vizsgálat megnehezítése érdekében.
A DesckVB RAT település után natív API-szinten módosítja az Antimalware Scan Interface és az Event Tracing for Windows működését, ezzel jelentősen csökkentve a Windows biztonsági telemetriájának hatékonyságát. A perzisztencia és a rejtőzködés érdekében legitim, Microsoft által aláírt folyamatokba – például InstallUtil.exe és MSBuild.exe – injektálja saját kódját. A vezérlőszerverekkel dinamikus DNS-címeken, nem szabványos portokon kommunikál.
A Huntress szerint a támadók megbízható infrastruktúrát, dinamikus személyre szabást és szinte teljesen memóriában zajló végrehajtást kombinálnak, hogy növeljék a sikeres kompromittálás esélyét és csökkentsék az észlelhetőséget.
