Los usuarios de habla rusa han sido atacados como parte de una nueva campa\u00f1a que distribuye un troyano b\u00e1sico llamado DCRat (tambi\u00e9n conocido como DarkCrystal RAT) mediante una t\u00e9cnica conocida como contrabando de HTML.<\/p>\n
El desarrollo marca la primera vez que el malware se implementa utilizando este m\u00e9todo, una desviaci\u00f3n de los vectores de entrega observados anteriormente, como sitios web comprometidos o falsos, o correos electr\u00f3nicos de phishing con archivos adjuntos PDF o documentos de Microsoft Excel con macros.<\/p>\n
“El contrabando de HTML es principalmente un mecanismo de entrega de carga \u00fatil”, afirma el investigador de Netskope Nikhil Hegde dicho<\/a> en un an\u00e1lisis publicado el jueves. “La carga \u00fatil puede incrustarse dentro del propio HTML o recuperarse de un recurso remoto”.<\/p>\n El archivo HTML, a su vez, puede propagarse a trav\u00e9s de sitios falsos o campa\u00f1as de malspam. Una vez que el archivo se inicia a trav\u00e9s del navegador web de la v\u00edctima, la carga \u00fatil oculta se decodifica y se descarga en la m\u00e1quina.<\/p>\n Posteriormente, el ataque recurre a cierto nivel de ingenier\u00eda social para convencer a la v\u00edctima de que abra la carga maliciosa.<\/p>\n Netskope dijo que descubri\u00f3 p\u00e1ginas HTML que imitaban TrueConf y VK en idioma ruso y que, cuando se abren en un navegador web, descargan autom\u00e1ticamente un archivo ZIP protegido con contrase\u00f1a al disco en un intento de evadir la detecci\u00f3n. La carga \u00fatil ZIP contiene un archivo RarSFX anidado que, en \u00faltima instancia, conduce a la implementaci\u00f3n del malware DCRat.<\/p>\n Lanzado por primera vez en 2018, DCRat es capaz de funcionar como una puerta trasera completa que se puede combinar con complementos adicionales para ampliar su funcionalidad. Puede ejecutar comandos de shell, registrar pulsaciones de teclas y filtrar archivos y credenciales, entre otros.<\/p>\n Se recomienda a las organizaciones que revisen el tr\u00e1fico HTTP y HTTPS para garantizar que los sistemas no se comuniquen con dominios maliciosos. <\/p>\n El desarrollo se produce cuando las empresas rusas han sido atacadas por un grupo de amenazas denominado Stone Wolf para infectarlas con Meduza Stealer mediante el env\u00edo de correos electr\u00f3nicos de phishing haci\u00e9ndose pasar por un proveedor leg\u00edtimo de soluciones de automatizaci\u00f3n industrial.<\/p>\n “Los adversarios siguen utilizando archivos con archivos maliciosos y archivos adjuntos leg\u00edtimos que sirven para distraer a la v\u00edctima”, BI.ZONE dicho<\/a>. Al utilizar los nombres y datos de organizaciones reales, los atacantes tienen mayores posibilidades de enga\u00f1ar a sus v\u00edctimas para que descarguen y abran archivos adjuntos maliciosos”.<\/p>\n Tambi\u00e9n sigue la aparici\u00f3n de campa\u00f1as maliciosas que probablemente hayan aprovechado la inteligencia artificial generativa (GenAI) para escribir c\u00f3digo VBScript y JavaScript responsable de difundir AsyncRAT a trav\u00e9s del contrabando de HTML.<\/p>\n “La estructura de los scripts, los comentarios y la elecci\u00f3n de los nombres de las funciones y las variables fueron fuertes pistas de que el actor de la amenaza utiliz\u00f3 GenAI para crear el malware”, HP Wolf Security dicho<\/a>. “La actividad muestra c\u00f3mo GenAI est\u00e1 acelerando los ataques y bajando el list\u00f3n para que los ciberdelincuentes infecten los puntos finales”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Nueva-campana-de-contrabando-de-HTML-entrega-malware-DCRat-a.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n