27 de septiembre de 2024Ravie LakshmananGenAI / Cibercrimen Los usuarios de habla rusa han sido atacados como parte de una nueva campaña que distribuye un troyano básico llamado DCRat (también conocido como DarkCrystal RAT) mediante una técnica conocida como contrabando de HTML. El desarrollo marca la primera vez que el malware se implementa utilizando este método, una desviación de los vectores de entrega observados anteriormente, como sitios web comprometidos o falsos, o correos electrónicos de phishing con archivos adjuntos PDF o documentos de Microsoft Excel con macros. «El contrabando de HTML es principalmente un mecanismo de entrega de carga útil», dijo el investigador de Netskope Nikhil Hegde en un análisis publicado el jueves. «La carga útil puede incrustarse dentro del propio HTML o recuperarse de un recurso remoto». El archivo HTML, a su vez, puede propagarse a través de sitios falsos o campañas de malspam. Una vez que el archivo se inicia a través del navegador web de la víctima, la carga útil oculta se decodifica y se descarga en la máquina. Posteriormente, el ataque recurre a cierto nivel de ingeniería social para convencer a la víctima de que abra la carga maliciosa. Netskope dijo que descubrió páginas HTML que imitaban TrueConf y VK en idioma ruso y que, cuando se abren en un navegador web, descargan automáticamente un archivo ZIP protegido con contraseña al disco en un intento de evadir la detección. La carga útil ZIP contiene un archivo RarSFX anidado que, en última instancia, conduce a la implementación del malware DCRat. Lanzado por primera vez en 2018, DCRat es capaz de funcionar como una puerta trasera completa que se puede combinar con complementos adicionales para ampliar su funcionalidad. Puede ejecutar comandos de shell, registrar pulsaciones de teclas y filtrar archivos y credenciales, entre otros. Se recomienda a las organizaciones revisar el tráfico HTTP y HTTPS para garantizar que los sistemas no se comuniquen con dominios maliciosos. El desarrollo se produce cuando las empresas rusas han sido atacadas por un grupo de amenazas denominado Stone Wolf para infectarlas con Meduza Stealer mediante el envío de correos electrónicos de phishing haciéndose pasar por un proveedor legítimo de soluciones de automatización industrial. «Los adversarios continúan utilizando archivos con archivos maliciosos y archivos adjuntos legítimos que sirven para distraer a la víctima», dijo BI.ZONE. Al utilizar los nombres y datos de organizaciones reales, los atacantes tienen más posibilidades de engañar a sus víctimas para que descarguen y abran archivos adjuntos maliciosos». También sigue la aparición de campañas maliciosas que probablemente han aprovechado la inteligencia artificial generativa (GenAI) para escribir VBScript y JavaScript. código responsable de la propagación de AsyncRAT a través del contrabando de HTML. «La estructura de los scripts, los comentarios y la elección de los nombres de las funciones y las variables fueron fuertes pistas de que el actor de la amenaza utilizó GenAI para crear el malware», dijo HP Wolf Security. «La actividad muestra cómo es GenAI. acelerando los ataques y bajando el listón para que los ciberdelincuentes infecten puntos finales». ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.