Usuários que falam russo foram alvos de uma nova campanha divulgando um trojan chamado DCRat (também conhecido como DarkCrystal RAT) por meio de uma técnica conhecida como smuggle de HTML.
O desenvolvimento marca a primeira vez que o malware foi distribuído usando este método, uma mudança das estratégias de entrega observadas anteriormente, como sites comprometidos ou falsos, ou e-mails de phishing com anexos PDF ou documentos do Microsoft Excel com macros maliciosas.
"O smuggle de HTML é primordialmente um mecanismo de entrega de payload," disse o pesquisador da Netskope, Nikhil Hegde, em uma análise publicada na quinta-feira(26).
O payload pode ser embutido dentro do próprio HTML ou recuperado de um recurso remoto.
O arquivo HTML, por sua vez, pode ser propagado via sites falsos ou campanhas de malspam.
Uma vez que o arquivo é lançado via navegador web da vítima, o payload oculto é decodificado e baixado na máquina.
O ataque subsequentemente conta com algum nível de engenharia social para convencer a vítima a abrir o payload malicioso.
A Netskope disse que descobriu páginas HTML imitando TrueConf e VK em russo que, quando abertas em um navegador web, automaticamente baixam um arquivo ZIP protegido por senha no disco numa tentativa de evadir detecção.
O payload ZIP contém um arquivo RarSFX aninhado que, finalmente, leva ao deploy do malware DCRat.
Lançado pela primeira vez em 2018, o DCRat é capaz de funcionar como um backdoor completo que pode ser pareado com plugins adicionais para estender sua funcionalidade.
Ele pode executar comandos shell, registrar keystrokes e exfiltrar arquivos e credenciais, entre outros.
Organizações são recomendadas a revisar o tráfego HTTP e HTTPS para garantir que sistemas não estão comunicando com domínios maliciosos.
O desenvolvimento vem enquanto empresas russas foram alvadas por um cluster de ameaças apelidado de Stone Wolf para infectá-las com o Meduza Stealer enviando e-mails de phishing disfarçados de fornecedores legítimos de soluções de automação industrial.
"Adversários continuam a usar arquivos com arquivos maliciosos e anexos legítimos que servem para distrair a vítima," disse a BI.ZONE.
Usando os nomes e dados de organizações reais, atacantes têm uma maior chance de enganar suas vítimas para baixar e abrir anexos maliciosos.
Isso também segue a emergência de campanhas maliciosas que provavelmente leveraged a inteligência artificial generativa (GenAI) para escrever código VBScript e JavaScript responsável pela disseminação do AsyncRAT via smuggle de HTML.
"A estrutura dos scripts, comentários e a escolha de nomes de funções e variáveis foram fortes indícios de que o autor da ameaça usou GenAI para criar o malware," disse a HP Wolf Security.
A atividade mostra como a GenAI está acelerando ataques e abaixando a barreira para criminosos virtuais infectarem endpoints.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...