|
Распространители модульного трояна DCRat опробуют технику доставки полезной нагрузки, известную как HTML smuggling. Обнаружены образцы вредоносных файлов с поддельными страницами загрузки VK Мессенджера и приложения TrueConf. Ранее DCRat, он же DarkCrystal, раздавался через drive-by-загрузки или имейл-вложения в формате PDF либо XLS (с вредоносным макросом). Каким образом распространяются созданные с той же целью файлы HTML, найденные исследователями из Netskope, выяснить не удалось. Используемые в рамках HTML smuggling страницы оформлены на русском языке и имитируют ресурсы VK и TrueConf. При открытии файла в браузере автоматически происходит загрузка запароленного ZIP с записью на диск. https://www.anti-malware.ru/files/im...0smuggling.png https://www.anti-malware.ru/files/im...0smuggling.png В архивном файле содержится вложенный RarSFX с именем, соответствующим маскировочному приложению — trueconf.ru.exe или vk.exe. Внутри скрывается еще один RarSFX-архив под паролем, а также bat-файл для запуска встроенной полезной нагрузки (DCRat). https://www.anti-malware.ru/files/im...smuggling.jpeg Загружаемые ZIP-матрешки, по словам экспертов, пока плохо детектируются на VirusTotal. https://www.anti-malware.ru/news/202...7-114534/44267 |
| All times are GMT. The time now is 10:22 AM. |
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.