Pengguna berbahasa Rusia telah menjadi sasaran sebagai bagian dari kampanye baru yang mendistribusikan trojan komoditas yang disebut DCRat (alias DarkCrystal RAT) melalui teknik yang dikenal sebagai penyelundupan HTML.
Perkembangan ini menandai pertama kalinya malware disebarkan menggunakan metode ini, sebuah penyimpangan dari vektor pengiriman yang diamati sebelumnya seperti situs web yang disusupi atau palsu, atau email phishing yang berisi lampiran PDF atau dokumen Microsoft Excel yang dilengkapi makro.
“Penyelundupan HTML pada dasarnya adalah mekanisme pengiriman muatan,” kata peneliti Netskope Nikhil Hegde dalam sebuah analisis yang diterbitkan Kamis. “Muatannya dapat tertanam dalam HTML itu sendiri atau diambil dari sumber daya jarak jauh.”
File HTML, pada gilirannya, dapat disebarkan melalui situs palsu atau kampanye malspam. Setelah file diluncurkan melalui browser web korban, payload yang disembunyikan didekodekan dan diunduh ke mesin.
Serangan tersebut kemudian mengandalkan rekayasa sosial pada tingkat tertentu untuk meyakinkan korban agar membuka muatan berbahaya.
Netskope mengatakan mereka menemukan halaman HTML yang meniru TrueConf dan VK dalam bahasa Rusia yang ketika dibuka di browser web, secara otomatis mengunduh arsip ZIP yang dilindungi kata sandi ke disk untuk menghindari deteksi. Payload ZIP berisi arsip RarSFX bersarang yang pada akhirnya mengarah pada penyebaran malware DCRat.
Pertama kali dirilis pada tahun 2018, DCRat mampu berfungsi sebagai pintu belakang lengkap yang dapat dipasangkan dengan plugin tambahan untuk memperluas fungsinya. Itu dapat menjalankan perintah shell, mencatat penekanan tombol, dan mengekstrak file dan kredensial, antara lain.
Organisasi disarankan untuk meninjau lalu lintas HTTP dan HTTPS untuk memastikan bahwa sistem tidak berkomunikasi dengan domain berbahaya.
Perkembangan ini terjadi ketika perusahaan-perusahaan Rusia menjadi sasaran kelompok ancaman yang dijuluki Stone Wolf untuk menginfeksi mereka dengan Meduza Stealer dengan mengirimkan email phishing yang menyamar sebagai penyedia sah solusi otomasi industri.
“Penyerang terus menggunakan arsip dengan file berbahaya dan lampiran sah yang berfungsi untuk mengalihkan perhatian korban,” kata BI.ZONE. Dengan menggunakan nama dan data organisasi sebenarnya, penyerang memiliki peluang lebih besar untuk mengelabui korbannya agar mengunduh dan membuka lampiran berbahaya.”
Hal ini juga terjadi setelah munculnya kampanye jahat yang kemungkinan memanfaatkan kecerdasan buatan generatif (GenAI) untuk menulis kode VBScript dan JavaScript yang bertanggung jawab menyebarkan AsyncRAT melalui penyelundupan HTML.
“Struktur skrip, komentar, dan pilihan nama fungsi serta variabel merupakan petunjuk kuat bahwa pelaku ancaman menggunakan GenAI untuk membuat malware,” kata HP Wolf Security. “Aktivitas ini menunjukkan bagaimana GenAI mempercepat serangan dan menurunkan hambatan bagi penjahat dunia maya untuk menginfeksi titik akhir.”