Una recente campagna di phishing ha preso di mira utenti di lingua russa utilizzando il framework open-source Gophish per distribuire Remote Access Trojans (RAT) come DarkCrystal RAT (DCRat) e un trojan di accesso remoto precedentemente sconosciuto chiamato PowerRAT. Questa campagna si basa su catene di infezione modulari che richiedono l'intervento della vittima per avviare il processo di infezione. Le tecniche utilizzate includono documenti malevoli (Maldoc) o infezioni basate su HTML, spesso mascherate come servizi familiari agli utenti russi, come Yandex Disk e il social network VK.

Gophish è un framework di phishing open-source che offre alle organizzazioni la possibilità di testare le proprie difese contro il phishing utilizzando modelli predefiniti e campagne email tracciabili in tempo reale. Gli attori malevoli dietro questa campagna sfruttano Gophish per inviare messaggi di phishing che, attraverso documenti Word malevoli o HTML con JavaScript, possono infettare i dispositivi delle vittime.

Quando una vittima apre un documento malevolo e abilita le macro, un macro Visual Basic esegue un file HTML Application (HTA) e un caricatore PowerShell. Questo processo configura una chiave di registro di Windows in modo che il file HTA venga lanciato automaticamente a ogni accesso dell'utente. Il file HTA distribuisce un file JavaScript che esegue il caricatore PowerShell, il quale decodifica e esegue il payload PowerRAT direttamente nella memoria del sistema della vittima. Questo malware non solo effettua la ricognizione del sistema, ma raccoglie il numero di serie del drive e si connette a server remoti in Russia per ricevere ulteriori istruzioni.

In parallelo, una catena di infezione alternativa utilizza file HTML con JavaScript malevolo per distribuire DCRat. Quando una vittima clicca su un link malevolo, viene aperto un file HTML remoto che esegue il JavaScript, il quale contiene un blob di dati codificato in Base64 di un archivio 7-Zip malevolo. Questo archivio, scaricato tramite una tecnica nota come HTML smuggling, contiene un file SFX RAR protetto da password con il payload RAT.

L'infezione tramite HTML smuggling è stata dettagliata da Netskope Threat Labs, che ha osservato l'uso di pagine HTML false che impersonano TrueConf e VK Messenger per distribuire DCRat. Inoltre, l'uso di archivi autoestraenti annidati è stato osservato in campagne che distribuiscono SparkRAT. Il file eseguibile SFX RAR distribuisce caricatori malevoli, file batch e documenti esca per ingannare le vittime.

Questa campagna di phishing evidenzia la continua evoluzione delle tecniche utilizzate per eludere le difese dei gateway di posta elettronica e distribuire malware come Remcos RAT o XWorm. Gli attori della minaccia inviano email con allegati ZIP contenenti file di hard disk virtuali o link per il download di tali file, che possono essere montati e sfogliati dalle vittime per eseguire payload malevoli.