Ρωσόφωνοι χρήστες έχουν στοχοποιηθεί ως μέρος μιας νέας καμπάνιας που διανέμει ένα trojan που ονομάζεται DCRat (γνωστό και ως DarkCrystal RAT) μέσω μιας τεχνικής γνωστής ως HTML Smuggling.
Δείτε επίσης: Ρώσοι hackers στοχεύουν στρατιωτικές υποδομές της Ουκρανίας
Είναι η πρώτη φορά που το κακόβουλο λογισμικό έχει αναπτυχθεί χρησιμοποιώντας αυτήν τη μέθοδο, η οποία διαφέρει από αυτές που είχαν παρατηρηθεί προηγουμένως, όπως παραβιασμένοι ή ψεύτικοι ιστότοποι ή μηνύματα ηλεκτρονικού phishing που φέρουν συνημμένα PDF ή έγγραφα του Microsoft Excel με μακροεντολές.
“Το HTML Smuggling είναι πρωτίστως ένας μηχανισμός παράδοσης ωφέλιμου φορτίου“, δήλωσε ο ερευνητής της Netskope, Nikhil Hegde σε μια ανάλυση που δημοσιεύθηκε την Πέμπτη σχετικά με το DCRat. “Το ωφέλιμο φορτίο μπορεί να ενσωματωθεί στο ίδιο το HTML ή να ανακτηθεί από έναν απομακρυσμένο πόρο.“
Το μέλλον της φιλοξενίας: Το πρώτο 3D-printed ξενοδοχείο
Το αρχείο HTML, με τη σειρά του, μπορεί να διαδοθεί μέσω ψεύτικων τοποθεσιών ή καμπανιών malspam. Μόλις εκκινηθεί το αρχείο μέσω του προγράμματος περιήγησης ιστού του θύματος, το κρυφό ωφέλιμο φορτίο αποκωδικοποιείται και μεταφορτώνεται στο μηχάνημα.
Η επίθεση στη συνέχεια βασίζεται σε social engineering για να πείσει το θύμα να ανοίξει το κακόβουλο ωφέλιμο φορτίο.
Δείτε ακόμα: Το PondRAT malware στοχεύει προγραμματιστές με πακέτα Python
Η Netskope είπε ότι ανακάλυψε σελίδες HTML που μιμούνται τα TrueConf και VK στη ρωσική γλώσσα, που όταν ανοίγονται σε πρόγραμμα περιήγησης ιστού, κατεβάζουν αυτόματα ένα αρχείο ZIP που προστατεύεται με κωδικό πρόσβασης στο δίσκο σε μια προσπάθεια να αποφύγει τον εντοπισμό. Το ωφέλιμο φορτίο ZIP περιέχει ένα ένθετο αρχείο RarSFX που τελικά οδηγεί στην ανάπτυξη του κακόβουλου λογισμικού DCRat.
Το DCRat που κυκλοφόρησε για πρώτη φορά το 2018, μπορεί να λειτουργήσει ως ένα πλήρες backdoor που μπορεί να συνδυαστεί με πρόσθετα για να επεκτείνει τη λειτουργικότητά του. Μπορεί να εκτελέσει εντολές shell, να καταγράψει πατήματα πλήκτρων και να εξάγει αρχεία και διαπιστευτήρια, μεταξύ άλλων.
Συνιστάται στους οργανισμούς να ελέγχουν την επισκεψιμότητα HTTP και HTTPS για να διασφαλίσουν ότι τα συστήματα δεν επικοινωνούν με κακόβουλους τομείς.
Η εξέλιξη αυτή, έρχεται καθώς οι ρωσικές εταιρείες έχουν στοχοποιηθεί από ένα σύμπλεγμα απειλών που ονομάστηκε Stone Wolf για να τις μολύνει με το Meduza Stealer στέλνοντας μηνύματα ηλεκτρονικού phishing που μεταμφιέζονται ως νόμιμοι πάροχοι λύσεων βιομηχανικού αυτοματισμού.
Ακολουθεί επίσης την εμφάνιση κακόβουλων καμπανιών που έχουν πιθανότατα αξιοποιήσει τη γενετική τεχνητή νοημοσύνη (GenAI) για τη σύνταξη κώδικα VBScript και JavaScript που είναι υπεύθυνη για τη διάδοση του AsyncRAT μέσω HTML Smuggling.
Δείτε επίσης: Νέο MacOS HZ RAT επιτρέπει απομακρυσμένο έλεγχο συσκευής
Το Remote Access Trojan (RAT), όπως το DCRat που διαδίδεται μέσω HTML Smuggling, είναι ένας τύπος κακόβουλου λογισμικού που έχει σχεδιαστεί για να παρέχει σε έναν εισβολέα μη εξουσιοδοτημένο απομακρυσμένο έλεγχο ενός υπολογιστή-στόχου. Τα RAT χρησιμοποιούνται για την αθόρυβη πρόσβαση σε ένα σύστημα, τη συλλογή ευαίσθητων πληροφοριών και την εκτέλεση εντολών με ελάχιστη ανίχνευση από το θύμα. Συχνά μεταμφιέζονται ως νόμιμα προγράμματα, γεγονός που καθιστά δύσκολο τον εντοπισμό τους. Μόλις εγκατασταθούν, τα RAT μπορούν να καταγράφουν πατήματα πλήκτρων, να παρακολουθούν τις δραστηριότητες των χρηστών και να χειρίζονται αρχεία. Η προστασία από τα RAT περιλαμβάνει τη διατήρηση ενημερωμένου λογισμικού ασφαλείας, την προσεκτική λήψη και την επαγρύπνηση σχετικά με τα συνημμένα email και τους συνδέσμους.
Πηγή: thehackernews
