讲俄语的用户已成为一项新活动的一部分，该活动经过一种称为 HTML 私运的技能分发名为 DCRat（又叫 DarkCrystal RAT）的产品木马。

　　这一开展标志着歹意软件初次运用这种方法来进行布置，与曾经观察到的传递前言不同，例如受感染或虚伪网站，或带有 PDF 附件或带有宏的 Microsoft Excel 文档的网络垂钓电子邮件。

　　“HTML 私运主要是一种有用载荷传递机制，”Netskope 研究员 Nikhil Hegde 在周四宣布的剖析中说。“有用负载能够嵌入到 HTML 自身中，也能够从长途资源中检索。”

　　反过来，HTML 文件能够终究靠虚伪网站或歹意垃圾邮件活动传达。一旦经过受害者的 Web 浏览器发动文件，躲藏的有用载荷就会被解码并下载到机器上。

　　Netskope 表明，它发现在俄语中仿照 TrueConf 和 VK 的 HTML 页面，当在 Web 浏览器中翻开时，它们会主动将受密码保护的 ZIP 存档下载到磁盘，以企图躲避检测。ZIP 有用负载包括一个嵌套的 RarSFX 存档，最终导致 DCRat 歹意软件的布置。

　　DCRat 于 2018 年初次发布，能够作为一个老练的后门运转，能够与其他插件配对以扩展其功用。它能够履行 shell 指令、记载击键以及走漏文件和凭证等。

　　主张安排查看 HTTP 和 HTTPS 流量，以保证体系不会与歹意域通讯。

　　这一开展是在俄罗斯公司成为一个名为 Stone Wolf 的要挟集群的方针之际，经过发送伪装成合法工业主动化解决方案供给商的网络垂钓电子邮件，用 Meduza Stealer 感染它们。

　　“进犯者接着运用包括歹意文件和合法附件的档案，以涣散受害者的注意力，”BI 说。ZONE 说。运用实在安排的称号和数据，进犯者有更大的时机拐骗受害者下载和翻开歹意附件。

　　它还遵从歹意活动的呈现，这些活动或许运用生成式人工智能 （GenAI） 来编写 VBScript 和 JavaScript 代码，担任经过 HTML 私运传达 AsyncRAT。

　　“脚本的结构、注释以及函数称号和变量的挑选是要挟行为者运用 GenAI 创立歹意软件的有力头绪，”HP Wolf Security 表明。“该活动展现了 GenAI 怎么加快进犯并下降网络犯罪分子感染端点的门槛。”