Cybersecurity-onderzoekers hebben een nieuwe malspam-campagne gemarkeerd die gebruik maakt van het DoubleClick-domein van Google als een manier om detectie te omzeilen en uiteindelijk een trojan voor externe toegang (RAT) af te leveren met de naam DeskVB RAT.
“Voordat het slachtoffer ooit de door de aanvaller gecontroleerde infrastructuur bereikt, loopt het lokaas via DoubleClick, een legitiem domein van Google dat door veel beveiligingstools minder snel als verdacht wordt beschouwd”, aldus Huntress-onderzoekers Anna Pham en Adam Mooney in een rapport gedeeld met The Hacker News.
“Van daaruit wordt het slachtoffer doorgestuurd naar een spamkit die zichzelf on-the-fly personaliseert met behulp van het e-mailadres van het slachtoffer, waarbij dynamisch bedrijfsbranding en locatiegegevens worden opgehaald om de pagina overtuigend te laten lijken zonder dat de operators voor elk doelwit een lokmiddel hoeven te maken.”
Wat deze aanval opmerkelijk maakt, is dat het de noodzaak elimineert om voor elke beoogde organisatie een op maat gemaakte kit te hebben, waardoor deze operaties schaalbaarder en kosteneffectiever worden. Het einddoel van de campagne is het droppen van DesckVB RAT, een op .NET gebaseerde trojan die sinds februari 2026 in het wild actief is.
De aanval begint wanneer een nietsvermoedende gebruiker een HTML-bestand opent dat bij een phishing-e-mail is gevoegd. Het bestand activeert een meta-refresh-browseromleiding naar een kliktracking-URL van Google DoubleClick Campaign Manager, vanwaar de gebruiker wordt doorgestuurd naar een andere redirector, die het met Base64 gecodeerde e-mailadres decodeert en het slachtoffer naar een landingspagina leidt met een knop ‘PDF downloaden’.
Als u op de knop klikt, reageert de server met een ZIP-archief dat de rest van de infectieketen initieert. Dit wordt bereikt door middel van een JavaScript-lader, waarvan de belangrijkste verantwoordelijkheid het ophalen en uitvoeren van een .NET RAT is terwijl hij onder de radar vliegt. Het script extraheert een PowerShell-script en voert het uit, dat vervolgens een .NET-lader van een externe server ophaalt.
De lader fungeert als een stager die verifieert dat deze niet wordt geanalyseerd, de beveiligingscontroles van de machine neutraliseert, persistentie instelt en vervolgens uiteindelijk de RAT-payload downloadt en uitvoert met behulp van een techniek die procesuitholling wordt genoemd en waarbij de malware in door Microsoft ondertekende processen wordt geïnjecteerd.
Eenmaal gelanceerd, communiceert de trojan met een command-and-control (C2)-server via onbewerkte TCP-sockets, voert systeemverkenning uit en configureert Microsoft Defender-uitsluitingen. De trojan patcht ook Antimalware Scan Interface (AMSI) en Event Tracing for Windows (ETW) vanaf het begin op het native API-niveau in een poging Windows-telemetrie te verblinden voordat persistentie op de host tot stand wordt gebracht door Run- en RunOnce Registry-vermeldingen in te stellen, samen met het plaatsen van een lader die verantwoordelijk is voor het starten van de RAT in de opstartmap van de gebruiker.
De malware wordt geleverd met mogelijkheden om gegevens te extraheren, opdrachten uit te voeren en extra payloads in te zetten, waardoor de aanvallers volledige controle krijgen over de geïnfecteerde machines, terwijl ze tegelijkertijd stappen ondernemen om onder de radar te vliegen door de machine te beëindigen en opnieuw op te starten als deze een analysetool detecteert of vaststelt dat deze in een sandbox-omgeving draait.
“Dit is een sterke herinnering aan waarom diepgaande verdediging ertoe doet”, zei Huntress. “Het configureren van een Group Policy Object (GPO) in Active Directory om scriptbestanden zoals .vbs, .hta en .js standaard te openen in Kladblok kan een bedreigingsacteur in de allereerste fase tegenhouden, waardoor wordt voorkomen dat er ooit extra payloads worden verwijderd.”
“Op het gebied van e-mailbeveiliging zouden organisaties moeten overwegen om DMARC-, DKIM- en SPF-records in te zetten om de kans te verkleinen dat vervalste of kwaadaardige e-mails eindgebruikers bereiken. Daarnaast voegt een e-mailgateway-oplossing die bijlagen en links in een sandbox kan plaatsen voordat deze worden afgeleverd, nog een betekenisvolle beschermingslaag toe.”
