Os usuários que falam russo foram alvo de uma nova campanha de distribuição de um trojan comum chamado DCRat (também conhecido como DarkCrystal RAT) por meio de uma técnica conhecida como contrabando de HTML.
O desenvolvimento marca a primeira vez que o malware foi implantado usando esse método, um desvio de vetores de entrega observados anteriormente, como websites comprometidos ou falsos, ou e-mails de phishing com anexos em PDF ou documentos do Microsoft Excel com macros.
“O contrabando de HTML é principalmente um mecanismo de entrega de carga útil”, disse Nikhil Hegde, pesquisador da Netskope, em uma análise publicada na quinta-feira. “A carga útil pode ser incorporada no próprio HTML ou recuperada de um recurso remoto.”
O arquivo HTML, por sua vez, pode ser propagado por meio de websites falsos ou campanhas de spam. Depois que o arquivo é iniciado por meio do navegador da vítima, a carga oculta é decodificada e baixada na máquina.
O ataque subsequentemente recorre a algum nível de engenharia social para convencer a vítima a abrir a carga maliciosa.
A Netskope disse que descobriu páginas HTML que imitam TrueConf e VK no idioma russo que, quando abertas em um navegador da net, baixam automaticamente um arquivo ZIP protegido por senha para o disco, na tentativa de evitar a detecção. A carga ZIP contém um arquivo RarSFX aninhado que, em última análise, leva à implantação do malware DCRat.
Lançado pela primeira vez em 2018, o DCRat é capaz de funcionar como um backdoor completo que pode ser emparelhado com plug-ins adicionais para estender sua funcionalidade. Ele pode executar comandos shell, registrar pressionamentos de teclas e exfiltrar arquivos e credenciais, entre outros.
Recomenda-se que as organizações revisem o tráfego HTTP e HTTPS para garantir que os sistemas não estejam se comunicando com domínios maliciosos.
O desenvolvimento ocorre no momento em que empresas russas são alvo de um grupo de ameaças chamado Stone Wolf para infectá-las com Meduza Stealer, enviando e-mails de phishing disfarçados de fornecedores legítimos de soluções de automação industrial.
“Os adversários continuam a usar arquivos com arquivos maliciosos e anexos legítimos que servem para distrair a vítima”, disse BI.ZONE. Ao usar nomes e dados de organizações reais, os invasores têm uma likelihood maior de enganar suas vítimas para que baixem e abram anexos maliciosos.”
Também segue o surgimento de campanhas maliciosas que provavelmente aproveitaram a inteligência synthetic generativa (GenAI) para escrever código VBScript e JavaScript responsável pela disseminação do AsyncRAT por meio de contrabando de HTML.
“A estrutura dos scripts, os comentários e a escolha de nomes de funções e variáveis foram fortes pistas de que o agente da ameaça usou GenAI para criar o malware”, disse a HP Wolf Safety. “A atividade mostra como a GenAI está acelerando os ataques e diminuindo a barreira para os cibercriminosos infectarem endpoints.”
