Una nuova campagna di HTML smuggling sta prendendo di mira utenti di lingua russa, distribuendo un trojan comune noto come DCRat (conosciuto anche come DarkCrystal RAT). Questa tecnica rappresenta una novità nella distribuzione del malware, che in precedenza avveniva tramite siti web compromessi o falsi, email di phishing con allegati PDF o documenti di Microsoft Excel con macro.

L'HTML smuggling è principalmente un meccanismo di consegna del payload, che può essere incorporato direttamente all'interno dell'HTML o recuperato da una risorsa remota. Il file HTML viene propagato tramite siti web fraudolenti o campagne di malspam e, una volta lanciato nel browser della vittima, il payload nascosto viene decodificato e scaricato sul sistema. L'attacco sfrutta una certa misura di ingegneria sociale per convincere la vittima ad aprire il payload dannoso.

Netskope ha identificato pagine HTML che imitano TrueConf e VK in lingua russa.

Queste pagine, quando aperte in un browser web, scaricano automaticamente un archivio ZIP protetto da password sul disco, cercando di evitare il rilevamento. L'archivio ZIP contiene un archivio RarSFX annidato che alla fine porta al dispiegamento del malware DCRat.

Rilasciato per la prima volta nel 2018, DCRat funziona come una backdoor completa che può essere estesa con plugin aggiuntivi. È in grado di eseguire comandi shell, registrare le sequenze di tasti e esfiltrare file e credenziali. Le organizzazioni sono invitate a rivedere il traffico HTTP e HTTPS per garantire che i sistemi non comunichino con domini dannosi.

Questa nuova campagna si presenta mentre le aziende russe sono state prese di mira da un gruppo di minacce noto come Stone Wolf, che le ha infettate con Meduza Stealer tramite email di phishing che si spacciavano per fornitori legittimi di soluzioni di automazione industriale. Gli avversari continuano a utilizzare archivi con file dannosi e allegati legittimi per distrarre la vittima. Utilizzando i nomi e i dati di organizzazioni reali, i malintenzionati hanno maggiori possibilità di indurre le vittime a scaricare e aprire allegati dannosi.

Questa campagna segue l'emergere di attacchi malevoli che probabilmente hanno sfruttato l'intelligenza artificiale generativa (GenAI) per scrivere codice VBScript e JavaScript responsabile della diffusione di AsyncRAT tramite HTML smuggling. La struttura dei script, i commenti e la scelta dei nomi delle funzioni e delle variabili sono indizi forti che il malintenzionato ha utilizzato GenAI per creare il malware. Questo mostra come GenAI stia accelerando gli attacchi e abbassando la barriera per i cybercriminali nel infettare gli endpoint.