Новая тактика распространения трояна DCRat через HTML-файлы

Исследователи из компании Netskope обнаружили новый метод распространения модульного трояна DCRat, также известного как DarkCrystal. Вредоносное ПО теперь маскируется под HTML-файлы, представляющие собой поддельные страницы загрузки популярных приложений, таких как VK Мессенджер и TrueConf. Этот метод, известный как HTML smuggling, позволяет обойти традиционные способы обнаружения вредоносных программ.

В предыдущих кампаниях DCRat распространялся через drive-by-загрузки или имейл-вложения в форматах PDF и XLS, содержащие вредоносные макросы. Однако новый метод представляет собой использование HTML-файлов для непосредственной загрузки запароленного ZIP-архива на компьютер пользователя. Эти ZIP-файлы содержат вложенные RarSFX-архивы с исполняемыми файлами, маскирующимися под легитимные приложения, например, trueconf.ru.exe или vk.exe.

При запуске исполняемого файла из архива автоматически активируется второй RarSFX-архив под паролем, который в свою очередь запускает bat-файл. Этот bat-файл инициирует установку трояна DCRat на устройство жертвы.

Специалисты отмечают, что такой способ доставки вредоносного ПО ещё не обнаруживается большинством антивирусных решений, доступных на платформе VirusTotal. Это делает HTML smuggling особенно опасным, так как пользователи могут не подозревать о наличии угрозы при открытии казалось бы обычных веб-страниц.