Лаборатория FortiGuard Labs обнаружила файл, который, вероятно, использовался в той же атакующей кампании из-за идентичного имени файла, близкого времени появления отчета CERT-UA, даты отправки файла на VirusTotal и местоположения отправки - Украина. Однако новый файл имеет формат Excel (xlsx) и содержит вредоносные макросы вместо формата docx и эксплуатацию CVE-2022-30190 (Follina). Полезная нагрузка представляет собой вариант DCRat, который является коммерческим .NET троянцем удаленного доступа (RAT), часто встречающимся в продаже на подпольных форумах.
Dark Crystal RAT (DCRat)
Потенциальные жертвы, вероятно, получили электронные письма с вредоносным вложением с идентичными украинским именами файлов, такими как: "СПИСОК_посилань на інтерактивні карти.xlsm".
Электронная таблица содержит вредоносные макросы, которые, если их включить, бросают и выполняют файл "new.bat". Он содержит код PowerShell, который загружает файл MSDriverLoader.exe с адреса 72[.]167[.]223[.]219. Затем он сохраняет файл как C:\Users\Public\MSLoader.exe и выполняет его.
Затем MSLoader.exe загружает и выполняет файл MSDriverMonitor.exe с адреса 203[.]96[.]191[.]70. Этот файл представляет собой троянскую программу удаленного доступа (RAT) под названием Dark Crystal RAT (DCRat).
Когда MSDriverMonitor.exe запускается, он сбрасывает копию себя как DllHelper.exe в %userprofile%\AppVerif\. Во время тестирования было обнаружено, что этот процесс является полиморфным. Каждый раз, когда DllHelper сбрасывается, он имеет разный размер файла (обычно довольно большой - около 800 МБ) и, следовательно, разный хэш файла, что затрудняет его обнаружение только по этому признаку. Файл выглядит идентичным MSDriverMonitor.exe, за исключением сотен мегабайт прокладки в конце файла. Он также создает запланированную задачу под названием "COMSurrogate". Задача по расписанию выполняет DllHelper.exe каждый раз, когда пользователь входит в систему. Кроме того, на этом этапе происходит пинг до localhost (127.0.0.1).
DCRat - это коммерческая вредоносная программа .NET, доступная с 2018 года. Она предназначена в первую очередь для кражи данных со скомпрометированного хоста. В начале мая этого года компания BlackBerry сообщила, что RAT продается на российских подпольных форумах по доступной цене (от менее $6,00 в зависимости от срока действия лицензии). Это привлекательная приманка для многих киберпреступников и тех, кто хочет войти в сферу электронных преступлений. В отчете также указывается, что RAT периодически проводит распродажи.
Основной задачей DCRat является утечка данных, поскольку он поддерживает перехват клавиатуры, а также кражу конфиденциальной информации, например, учетных данных из установленных веб-браузеров и FTP-клиентов.
Функции DCRat включают:
- Перехват клавиатуры
- снятие скриншотов
- кража файлов cookie, паролей и содержимого форм из установленных веб-браузеров
- кража учетных данных из установленных FTP-клиентов, таких как FileZilla
- Кража содержимого буфера обмена
- Сбор информации о машине (имя компьютера, имя пользователя, местоположение в стране, установленные продукты безопасности и т.д.) и отправка собранной информации на сервер C2.
Также, как сообщается, доступны плагины для реализации дополнительной функциональности в зависимости от потребностей злоумышленника. Например, в недавнем сообщении на Telegram-канале DCRat было объявлено об обновлении плагина для кражи криптовалюты.
Indicators of Compromise
IPv4
- 103.27.202.127
Domains
- star-cz.ddns.net
URLs
- 72.167.223.219/MSDriverLoader.exe
- 203.96.191.70/MSDriverMonitor.exe
SHA256
- 03700e0d02a6a1d76ecaa4d8307e40f76e07284646b3c45693054996f2e643d7
- 24811e849a7a0e73788bc893bed81b88405883eb9114557eacd26a90c2a81c29
- c84bbfce14fdc65c6e738ce1196d40066c87e58f443e23266d3b9e542b8a583e