駭客鎖定俄語使用者用HTML偷渡手法散布DCRat木馬

自2018年出現的RAT木馬程式Dark Crystal RAT（簡稱DCRat），具備竊取機密資訊、執行Shell命令、側錄鍵盤輸入的內容等功能，開發者以租用型式（Malware as a Service，MaaS）提供駭客運用，如今在最新一波攻擊行動裡，駭客結合了HTML偷渡（HTML Smuggling）手法來進行散布。

資安業者Netskope揭露鎖定俄語使用者的DCRat攻擊行動，駭客設置冒牌的HTML網頁，假借提供TrueConf和VK Messenger等應用程式的名義，引誘使用者上當。但究竟駭客如何讓受害者接觸這些冒牌網頁？研究人員表示不清楚。

值得留意的是，一旦使用者存取這些網頁，瀏覽器就會逕自下載受到密碼保護的ZIP壓縮檔。駭客也在網頁列出密碼，若是使用者依照指示解開壓縮檔，電腦有可能會因此感染DCRat。

究竟壓縮檔的內容為何？研究人員指出是偽裝成安裝程式的RAR自解壓縮檔（SFX），而這個執行檔當中，又包含批次檔及另一個受到密碼保護的RAR自解壓縮檔。

研究人員指出，駭客利用含有密碼的壓縮檔而能成功迴避偵測，因為他們將ZIP檔上傳惡意軟體分析平臺VirusTotal，結果所有防毒引擎都無法察覺有害；但解開後無密碼保護的RAR自解壓縮檔，情況就完全不一樣了，因為此時VirusTotal的72個引擎當中，多達49個將其視為有害。