Маскируясь под VK: троян DCRat атакует русскоязычных пользователей
· SecurityLab.ru · ПодписатьсяHTML Smuggling стал главным козырем хитроумных киберзлодеев.
Русскоязычные пользователи стали мишенью новой кибератаки, распространяющей троян DCRat (известный также как DarkCrystal RAT) через технику HTML Smuggling. Это первый случай использования такого метода доставки для данного вредоносного ПО. Ранее оно распространялось исключительно через поддельные сайты или фишинговые письма с вредоносными PDF и Excel-файлами.
Исследователь компании Netskope Нихил Хегде отмечает, что вредоносный код может быть встроен непосредственно в HTML-файл или загружен из внешнего источника. Такие HTML-файлы распространяются через поддельные сайты или спам-рассылки, а при их открытии в браузере вредоносный код загружается на компьютер жертвы.
Для успешной атаки злоумышленники применяют методы социальной инженерии, побуждая жертву открыть загруженный файл. Netskope обнаружила HTML-страницы, имитирующие ряд русскоязычных сайтов, среди которых платформа видеоконференций TrueConf и социальная сеть VK. При открытии поддельных страниц на компьютер жертвы автоматически скачивается зашифрованный ZIP-архив, содержащий RarSFX-файл, который, в конечном итоге, запускает троян DCRat.
DCRat, впервые появившийся в 2018 году, способен выполнять функции полноценного бэкдора с возможностью установки дополнительных плагинов для расширения своих возможностей. Вредонос может выполнять произвольные команды в командной строке, отслеживать нажатия клавиш и похищать файлы и учётные данные. Эксперты рекомендуют организациям контролировать HTTP- и HTTPS-трафик на предмет связи с подозрительными доменами.
Параллельно с этой кампанией, другая группа киберпреступников, известная как Stone Wolf, нацелилась на российские компании, распространяющие вредоносное ПО Meduza Stealer через фишинговые письма, замаскированные под предложения от легитимных поставщиков промышленных решений.
Специалисты BI.ZONE отмечают, что злоумышленники часто используют архивы с вредоносными файлами и якобы легитимными вложениями, чтобы отвлечь внимание жертвы. Использование реальных названий организаций повышает шансы успешного заражения.
Кроме того, специалисты всё чаще обнаруживают кампании, в которых вредоносный VBScript и JavaScript-код создаётся с помощью искусственного интеллекта для последующего распространения AsyncRAT через HTML Smuggling. Эксперты HP Wolf Security уверены, что такая активность свидетельствует о том, как ИИ ускоряет подготовку и сам процесс атаки для злоумышленников.