Nieuwe HTML-smokkelcampagne levert DCRat-malware aan Russisch sprekende gebruikers

Russischsprekende gebruikers zijn het doelwit geweest als onderdeel van een nieuwe campagne waarbij een commodity-trojan genaamd DCRat (ook bekend als DarkCrystal RAT) wordt verspreid door middel van een techniek die bekend staat als HTML-smokkel.

Deze ontwikkeling markeert de eerste keer dat de malware met deze methode wordt ingezet, een afwijking van eerder waargenomen leveringsvectoren zoals gecompromitteerde of nepwebsites, of phishing-e-mails met PDF-bijlagen of Microsoft Excel-documenten met macro’s.

“HTML-smokkel is in de eerste plaats een mechanisme voor het afleveren van lading”, zei Netskope-onderzoeker Nikhil Hegde in een donderdag gepubliceerde analyse. “De payload kan worden ingebed in de HTML zelf of worden opgehaald van een externe bron.”

Het HTML-bestand kan op zijn beurt worden verspreid via nepsites of malspamcampagnes. Zodra het bestand via de webbrowser van het slachtoffer wordt gestart, wordt de verborgen lading gedecodeerd en naar de machine gedownload.

De aanval maakt vervolgens gebruik van een bepaald niveau van social engineering om het slachtoffer ervan te overtuigen de kwaadaardige lading te openen.

Netskope zei dat het HTML-pagina’s heeft ontdekt die TrueConf en VK nabootsen in de Russische taal en die, wanneer ze in een webbrowser worden geopend, automatisch een met een wachtwoord beveiligd ZIP-archief naar schijf downloaden in een poging detectie te omzeilen. De ZIP-payload bevat een genest RarSFX-archief dat uiteindelijk leidt tot de inzet van de DCRat-malware.

DCRat werd voor het eerst uitgebracht in 2018 en kan functioneren als een volwaardige achterdeur die kan worden gecombineerd met extra plug-ins om de functionaliteit ervan uit te breiden. Het kan onder meer shell-opdrachten uitvoeren, toetsaanslagen registreren en bestanden en inloggegevens exfiltreren.

Organisaties wordt aangeraden HTTP- en HTTPS-verkeer te controleren om er zeker van te zijn dat systemen niet communiceren met kwaadaardige domeinen.

De ontwikkeling komt omdat Russische bedrijven het doelwit zijn van een bedreigingscluster genaamd Stone Wolf om hen te infecteren met Meduza Stealer door phishing-e-mails te sturen die zich voordoen als een legitieme leverancier van industriële automatiseringsoplossingen.

“Aanvallers blijven archieven gebruiken met zowel kwaadaardige bestanden als legitieme bijlagen die dienen om het slachtoffer af te leiden”, aldus BI.ZONE. Door de namen en gegevens van echte organisaties te gebruiken, hebben aanvallers een grotere kans om hun slachtoffers te misleiden zodat ze kwaadaardige bijlagen downloaden en openen.”

Het volgt ook op de opkomst van kwaadaardige campagnes die waarschijnlijk gebruik hebben gemaakt van generatieve kunstmatige intelligentie (GenAI) om VBScript- en JavaScript-code te schrijven die verantwoordelijk is voor de verspreiding van AsyncRAT via HTML-smokkel.

“De structuur, het commentaar en de keuze van functienamen en variabelen van de scripts waren sterke aanwijzingen dat de bedreigingsacteur GenAI gebruikte om de malware te creëren”, aldus HP Wolf Security. “De activiteit laat zien hoe GenAI aanvallen versnelt en de lat voor cybercriminelen verlaagt om eindpunten te infecteren.”

Thijs Van der Does