O trojan DCRat está sendo distribuído por meio de uma técnica chamada HTML smuggling. Esta abordagem marca a primeira vez que o DCRat foi entregue dessa forma, uma mudança em relação aos vetores de ataque anteriormente observados, como sites comprometidos ou falsificados, e-mails de phishing com PDFs ou documentos do Microsoft Excel com macros.

A técnica de HTML smuggling é usada para ocultar e entregar malware diretamente via arquivos HTML. Esses arquivos podem ser propagados através de sites falsos ou campanhas de malspam. Quando a vítima abre o arquivo HTML no navegador, a carga maliciosa é decodificada e baixada para a máquina. Nesta campanha, os invasores estão usando páginas HTML disfarçadas como serviços legítimos em russo, como TrueConf e VK.

Quando abertas, essas páginas baixam automaticamente um arquivo ZIP protegido por senha no disco, uma tática para evitar a detecção por ferramentas de segurança. O arquivo ZIP contém um arquivo RarSFX, que, quando executado, leva à instalação do malware DCRat. Lançado pela primeira vez em 2018, o DCRat é um backdoor que pode ser aprimorado com plugins adicionais para aumentar suas funcionalidades.

Ele permite a execução de comandos no shell, captura de teclas (keylogging), exfiltração de arquivos e credenciais, entre outras ações maliciosas. Especialistas recomendam que organizações revisem o tráfego HTTP e HTTPS para garantir que os sistemas não estejam se comunicando com domínios maliciosos.