DCRat يستهدف الناطقين بالروسية: حملة اختراق واسعة
تم استهداف المستخدمين الناطقين بالروسية كجزء من حملة جديدة لتوزيع حصان طروادة سلعي يسمى DCRat
تم استهداف المستخدمين الناطقين بالروسية كجزء من حملة جديدة لتوزيع حصان طروادة سلعي يسمى DCRat (المعروف أيضًا باسم DarkCrystal RAT) عن طريق تقنية تعرف باسم تهريب HTML.
يمثل هذا التطوير المرة الأولى التي يتم فيها نشر البرامج الضارة باستخدام هذه الطريقة، وهو خروج عن ناقلات التسليم التي تمت ملاحظتها مسبقًا مثل مواقع الويب المخترقة أو المزيفة، أو رسائل البريد الإلكتروني التصيدية التي تحتوي على مرفقات PDF أو مستندات Microsoft Excel ذات تنسيقات كبيرة.
“تهريب HTML هو في المقام الأول آلية تسليم الحمولة،” الباحث في Netskope نيخيل هيغد قال في تحليل نشر الخميس. “يمكن تضمين الحمولة داخل HTML نفسه أو استردادها من مورد بعيد.”
يمكن نشر ملف HTML بدوره عبر المواقع الزائفة أو حملات البريد العشوائي. بمجرد تشغيل الملف عبر متصفح الويب الخاص بالضحية، يتم فك تشفير الحمولة المخفية وتنزيلها على الجهاز.
يعتمد الهجوم بعد ذلك على مستوى معين من الهندسة الاجتماعية لإقناع الضحية بفتح الحمولة الضارة.
وقالت Netskope إنها اكتشفت صفحات HTML تحاكي TrueConf وVK باللغة الروسية، والتي عند فتحها في متصفح الويب، تقوم تلقائيًا بتنزيل أرشيف ZIP محمي بكلمة مرور على القرص في محاولة لتجنب اكتشافها. تحتوي حمولة ZIP على أرشيف RarSFX متداخل يؤدي في النهاية إلى نشر البرنامج الضار DCRat.
تم إصدار DCRat لأول مرة في عام 2018، وهو قادر على العمل كباب خلفي كامل يمكن إقرانه بمكونات إضافية إضافية لتوسيع وظائفه. يمكنه تنفيذ أوامر الصدفة، وتسجيل ضغطات المفاتيح، وتصفية الملفات وبيانات الاعتماد، من بين أمور أخرى.
يُنصح المؤسسات بمراجعة حركة مرور HTTP وHTTPS للتأكد من عدم اتصال الأنظمة بالنطاقات الضارة.
ويأتي هذا التطور في الوقت الذي تم فيه استهداف الشركات الروسية من قبل مجموعة تهديدات يطلق عليها اسم Stone Wolf لإصابتها بـ Meduza Stealer عن طريق إرسال رسائل بريد إلكتروني تصيدية تتنكر كمزود شرعي لحلول الأتمتة الصناعية.
“يواصل الخصوم استخدام الأرشيفات التي تحتوي على ملفات ضارة ومرفقات مشروعة تعمل على تشتيت انتباه الضحية،” BI.ZONE قال. ومن خلال استخدام أسماء وبيانات منظمات حقيقية، يتمتع المهاجمون بفرصة أكبر لخداع ضحاياهم لتنزيل المرفقات الضارة وفتحها.”
ويأتي ذلك أيضًا بعد ظهور حملات ضارة من المحتمل أنها استفادت من الذكاء الاصطناعي التوليدي (GenAI) لكتابة كود VBScript وJavaScript المسؤول عن نشر AsyncRAT عبر تهريب HTML.
“كانت بنية البرامج النصية والتعليقات واختيار أسماء الوظائف والمتغيرات بمثابة أدلة قوية على أن جهة التهديد استخدمت GenAI لإنشاء البرامج الضارة،” HP Wolf Security قال. “يُظهر النشاط كيف تقوم GenAI بتسريع الهجمات وخفض مستوى مجرمي الإنترنت لإصابة نقاط النهاية.”
