Трояна DCRat прячут в HTML- файлах, выдавая за VK Мессенджер и TrueConf

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Распространители модульного трояна DCRat опробуют технику доставки полезной нагрузки, известную как HTML smuggling.

Обнаружены образцы вредоносных файлов с поддельными страницами загрузки VK Мессенджера и приложения TrueConf.

html_smuggling_news.png


Ранее DCRat, он же DarkCrystal, раздавался через drive-by-загрузки или имейл-вложения в формате PDF либо XLS (с вредоносным макросом). Каким образом распространяются созданные с той же целью файлы HTML, найденные исследователями из Netskope, выяснить не удалось.

Используемые в рамках HTML smuggling страницы оформлены на русском языке и имитируют ресурсы VK и TrueConf. При открытии файла в браузере автоматически происходит загрузка запароленного ZIP с записью на диск.

image1HTML%20smuggling.png


image2HTML%20smuggling.png


В архивном файле содержится вложенный RarSFX с именем, соответствующим маскировочному приложению — trueconf.ru.exe или vk.exe. Внутри скрывается еще один RarSFX-архив под паролем, а также bat-файл для запуска встроенной полезной нагрузки (DCRat).

image3HTML%20smuggling.jpeg


Загружаемые ZIP-матрешки, по словам экспертов, пока плохо детектируются на VirusTotal.



 
  • Теги
    dcrat trueconf троян
  • Сверху Снизу