攻击者正滥用Gophish传播远程访问木马程序

文章预览

据The Hacker News消息，名为Gophish 的开源网络钓鱼工具包正被攻击者用来制作DarkCrystal RAT（又名 DCRat）和PowerRAT 远程访问木马，目标针对俄国用户。 Gophish 允许组织通过利用简易的模板来测试其网络钓鱼防御措施，并启动基于电子邮件的跟踪活动。但攻击者利用Gophish制作网络钓鱼邮件，并伪装成Yandex Disk 链接（“disk-yandex[.]ru“），以及伪装成 VK 的 HTML 网页，VK 是俄罗斯最主要使用的社交网络。 感染链 据观察，攻击者根据所使用的初始访问载体推送包含DCRat 或 PowerRAT恶意木马的Microsoft Word 文档或嵌入 JavaScript 的 HTML。当受害者打开 maldoc 并启用宏时，就会执行一个恶意 Visual Basic (VB) 来提取 HTML 应用程序 (HTA) 文件（"UserCache.ini.hta"）和 PowerShell 加载器（"UserCache.ini"）。该宏负责配置 Windows 注册表项，以便每次用户在设备上登录其帐户时都会自动启动 HTA ………………………………