Recientemente, los investigadores de Cisco Talos descubrieron que un grupo de atacantes desconocidos está utilizando el marco de Gophish para lanzar ataques de phishing y propagar dos tipos de malware: DarkCrystal RAT (también conocido como DCRat) y una nueva forma de troyano de acceso remoto llamado PowerRAT.
Gophish es un marco de phishing de código abierto diseñado para ayudar a las organizaciones a probar su capacidad de defensa contra ataques de phishing. Esta herramienta ofrece plantillas de correo electrónico fáciles de usar que permiten a los usuarios enviar y rastrear actividades de correo electrónico de manera sencilla.
Según la investigación, estos ataques se llevan a cabo a través de dos medios principales: documentos de Word maliciosos y archivos HTML que contienen JavaScript malicioso. En ambos casos, la víctima debe participar activamente en el proceso de ataque para descargar y activar PowerRAT o DCRat, lo que pone en peligro su seguridad informática.
Las características principales de esta actividad de ataque incluyen:
– Los atacantes pueden acceder al control remoto de la víctima, ejecutar comandos arbitrarios, administrar archivos y monitorear su comportamiento.
– Los atacantes pueden descargar y ejecutar otros archivos en el dispositivo de la víctima.
– A través de un módulo de robo, el RAT puede robar certificados, documentos y información financiera de la víctima, así como tomar capturas de pantalla y registrar pulsaciones de teclado.
– El RAT crea múltiples archivos binarios con nombres aleatorios y la extensión “.log” en carpetas como ProgramData, Pictures, Saved Games y el menú de inicio de Windows para ocultar su presencia.
Imagen 1. Resumen del ataque de phishing, fuente: Informe de investigación de Cisco Talos
El proceso de ataque de PowerRAT se muestra en la imagen 2. Cuando la víctima abre el archivo malicioso y habilita las macros, estas capturan el archivo de aplicación HTML y el cargador de PowerShell. Luego, el archivo HTML elimina el archivo JavaScript responsable de ejecutar el cargador de PowerShell y utiliza un archivo binario legítimo de Windows para ejecutarse. Este archivo malicioso puede realizar reconocimiento del sistema, recopilar números de serie de unidades y conectarse a un servidor remoto en Rusia para recibir más instrucciones.
Imagen 2. PowerRAT generado a través de la infección de un documento malicioso, fuente: Informe de investigación de Cisco Talos
Además, los atacantes también utilizan DCRAT en esta actividad. El proceso de ataque se muestra en la imagen 3, donde se envía un correo electrónico de phishing a la víctima con un enlace que contiene un archivo HTML con JavaScript malicioso. Cuando la víctima hace clic en el enlace, se abre el archivo HTML en su navegador y comienza un proceso de varias etapas que finalmente descarga y ejecuta DCRAT. El JavaScript incluye un archivo SFX RAR malicioso que se ejecuta en 7-Zip.
Imagen 3. DCRAT generado a través de la infección de un archivo HTML, fuente: Informe de investigación de Cisco Talos
Es importante que los usuarios sean muy cautelosos al manejar correos electrónicos de origen desconocido y nunca hagan clic en enlaces o archivos adjuntos sospechosos para evitar convertirse en víctimas de estos ataques complejos. Las empresas y los individuos también deben fortalecer sus medidas de prevención contra ataques de phishing y mantenerse informados sobre las nuevas amenazas emergentes.