27 de septiembre de 2024Ravie LakshmananGenAI / Cibercrimen
Los usuarios de habla rusa están siendo atacados como parte de una nueva campaña para distribuir un troyano básico llamado DCRat (también conocido como DarkCrystal RAT) utilizando una técnica conocida como contrabando de HTML.
Este desarrollo es la primera vez que se implementa malware utilizando esta técnica, incluidos sitios web comprometidos o falsos y correos electrónicos de phishing que contienen archivos adjuntos en PDF y documentos de Microsoft Excel que contienen macros, lo que supone una desviación de los vectores de entrega observados anteriormente.
“El contrabando de HTML es principalmente un mecanismo de entrega de carga útil”, dijo el investigador de Netskope Nikhil Hegde en un análisis publicado el jueves. “La carga útil puede incrustarse en el propio HTML o recuperarse de un recurso remoto”.
Este archivo HTML se puede difundir a través de sitios falsos y campañas de malspam. Una vez que el archivo se inicia a través del navegador web de la víctima, la carga útil oculta se decodifica y se descarga en la máquina.
Luego, el ataque utiliza un nivel de ingeniería social para convencer a la víctima de que abra la carga maliciosa.
Según Netskope, cuando se abre una página HTML que imita TrueConf y Russian VK en un navegador web, se descubre que la página descarga automáticamente un archivo ZIP protegido con contraseña al disco para evitar la detección. La carga útil ZIP contiene un archivo RARSFX anidado que, en última instancia, conduce a la implementación del malware DCRat.
Lanzado por primera vez en 2018, DCRat actúa como una puerta trasera completa que se puede combinar con complementos adicionales para ampliar su funcionalidad. Puede ejecutar comandos de shell, registrar pulsaciones de teclas y filtrar archivos y credenciales.
Recomendamos que las organizaciones revisen el tráfico HTTP y HTTPS para asegurarse de que sus sistemas no se comuniquen con dominios maliciosos.
El desarrollo se produce cuando las empresas rusas son el objetivo de un grupo de amenazas conocido como Stone Wolf, que envía correos electrónicos de phishing haciéndose pasar por proveedores legítimos de soluciones de automatización industrial para infectar Meduza Stealer.
BI.ZONE dijo que “los atacantes continúan usando archivos que contienen archivos maliciosos y archivos adjuntos legítimos para distraer a las víctimas”. Al utilizar nombres y datos reales de las organizaciones, es más probable que los atacantes engañen a las víctimas para que descarguen o abran archivos adjuntos maliciosos. “
También seguimos viendo el surgimiento de campañas maliciosas que parecen haber aprovechado la Inteligencia Artificial Generativa (GenAI) para crear código VBScript y JavaScript que es responsable de difundir AsyncRAT a través del contrabando de HTML.
HP Wolf Security dijo: “La estructura del script, los comentarios y la elección de nombres de funciones y variables proporcionaron fuertes pistas de que los atacantes utilizaron GenAI para crear el malware”. “Esta actividad muestra cómo GenAI está acelerando los ataques y reduciendo los obstáculos para que los ciberdelincuentes infecten los puntos finales”.
¿Te pareció interesante este artículo? Síguenos Gorjeo ○ Puedes leer más contenido exclusivo nuestro en LinkedIn.
https://thehackernews.com/2024/09/new-html-smuggling-campaign-delivers.html
