自2018年出现的RAT木马程序Dark Crystal RAT(简称DCRat),具备窃取机密信息、运行Shell命令、侧录键盘输入的内容等功能,开发者以租用型式(Malware as a Service,MaaS)提供黑客运用,如今在最新一波攻击行动里,黑客结合了HTML偷渡(HTML Smuggling)手法来进行散布。
资安业者Netskope揭露锁定俄语用户的DCRat攻击行动,黑客设置冒牌的HTML网页,假借提供TrueConf和VK Messenger等应用程序的名义,引诱用户上当。但究竟黑客如何让受害者接触这些冒牌网页?研究人员表示不清楚。
值得留意的是,一旦用户存取这些网页,浏览器就会迳自下载受到密码保护的ZIP压缩档。而黑客则在网页上提供密码,若是用户依照指示打开,电脑就有可能感染DCRat。
究竟压缩档的内容为何?研究人员指出是伪装成安装程序的RAR自解压缩档(SFX),而这个运行档当中,又包含批量档及另一个受到密码保护的RAR自解压缩档。
研究人员指出,黑客利用含有密码的压缩档而能成功回避侦测,因为他们将ZIP档上传恶意软件分析平台VirusTotal,结果没有杀毒引擎将其视为有害;但解开后无密码保护的RAR自解压缩档却不然,72个引擎有49个将其视为有害。



2024-10-01
