Стефанія А. Автор Стефанія А.
Новини 3 Червня 2026 3 хв читання

DesckVB RAT через DoubleClick

Ланцюг DesckVB RAT із поштовим редиректом і ZIP-пасткою.

Нова спам-кампанія з DesckVB RAT використовує довірений рекламний редирект як перший перехід перед тим, як жертва потрапляє на інфраструктуру атакувальників. За даними Huntress, ланцюг починається з HTML-вкладення в листі, проходить через Google DoubleClick Campaign Manager click-tracking URL, а потім веде на сторінку з фальшивою кнопкою завантаження PDF, ZIP-архівом і JavaScript/PowerShell-завантажувачем для .NET RAT у Windows. [1]

Практичний ризик не в самому домені DoubleClick. Небезпека у всьому ланцюгу: вкладення в листі, браузерний редирект, ZIP-файл, запуск скрипта, виключення для Defender, втручання в AMSI та ETW, а також закріплення через Run/RunOnce і папку Startup. Якщо користувач відкрив вкладення або запустив ZIP, комп’ютер варто вважати потенційно скомпрометованим, навіть якщо перша адреса виглядала легітимно.

Хто під ризиком

Це насамперед проблема Windows і поштової безпеки. Домашнім користувачам, малому бізнесу та help desk-командам слід насторожитися, коли лист просить відкрити HTML-вкладення, пройти через редирект у браузері та завантажити нібито PDF з нової сторінки.

ОзнакаЧому це важливо
HTML-вкладення в листіВкладення може перевести браузер далі ще до того, як буде видно справжній домен атакувальників.
ZIP після кнопки “Download PDF”Звичайний PDF не має вимагати скриптовий ZIP-пакет.
Запуск JavaScript або PowerShellЗавантажувач може отримати і виконати .NET-пейлоад.
Виключення Defender або втручання в AMSI/ETWЦе дії після компрометації, які зменшують локальну видимість атаки. [2]

Що перевірити, якщо файл відкривали

  1. Від’єднайте Windows-комп’ютер від мережі, якщо ZIP або скрипт було запущено.
  2. Перевірте Downloads, Temp, папку Startup користувача та місця розпакування ZIP на невідомі JavaScript, PowerShell або .NET-файли.
  3. Перегляньте Run і RunOnce у реєстрі на невідомі завантажувачі, створені приблизно під час отримання листа.
  4. Перевірте, чи не з’явилися нові Microsoft Defender exclusions, які користувач не створював.
  5. Проскануйте систему Microsoft Defender і другим інструментом на кшталт Gridinsoft Anti-Malware перед входом у пошту, банкінг, адмін-панелі або remote-access акаунти.
  6. Змініть паролі та відкличте активні сесії з чистого пристрою, якщо пейлоад запускався або були ознаки віддаленого доступу.

Якщо користувач лише прочитав лист і не запускав вкладення, ризик нижчий. Якщо HTML-вкладення відкрило сторінку, ZIP завантажився або Windows пропонував запустити скрипт, це вже не просто “видалити лист”, а повна перевірка endpoint.

Як зменшити цей шлях атаки

Організації можуть знизити ризик, блокуючи або ізолюючи HTML-вкладення від недовірених відправників, налаштовуючи відкриття .js, .vbs і .hta у Notepad там, де це доречно, та відстежуючи Defender exclusions, створені не через затверджені інструменти. Huntress окремо зазначає, що жорсткіші асоціації для скриптових файлів можуть зупинити такий ланцюг ще до запуску пізніших пейлоадів. [1]

Для окремого користувача правило простіше: “PDF” з пошти, який вимагає HTML-вкладення, редирект і ZIP, не є нормальним документообігом. Закрийте сторінку, збережіть файл лише для перевірки безпеки та проскануйте систему, перш ніж відкривати інші файли з того самого листа.

Суміжні матеріали Gridinsoft пояснюють Deno RAT у фейкових завантаженнях, бекдори та токени у GitHub Actions і фішингові URL у месенджерах.

FAQ

Чи кожен редирект DoubleClick шкідливий?

Ні. DoubleClick є легітимною рекламною та click-tracking інфраструктурою. У цій кампанії атакувальники зловживають довірою, яку інструменти безпеки та користувачі можуть мати до відомого редирект-домену.

Що таке DesckVB RAT?

DesckVB RAT – це .NET remote-access trojan, який може профілювати систему, зв’язуватися з C2 та закріплюватися після запуску завантажувача.

Достатньо просто видалити ZIP?

Видаляйте його лише після того, як збережете потрібну інформацію для перевірки. Якщо ZIP або скрипт запускався, також проскануйте систему, перевірте місця закріплення та змініть паролі з чистого пристрою.

Джерела

  1. Anna Pham and Adam Mooney. “From Malspam to DesckVB RAT Deployment.” Huntress, 3 червня 2026, дата доступу 3 червня 2026. https://www.huntress.com/blog/malspam-to-deskcvb-rat-delivery-chain-analysis
  2. Microsoft. “Antimalware Scan Interface (AMSI).” Microsoft Learn, дата доступу 3 червня 2026. https://learn.microsoft.com/en-us/windows/win32/amsi/antimalware-scan-interface-portal
  3. Microsoft. “Event Tracing for Windows (ETW).” Microsoft Learn, дата доступу 3 червня 2026. https://learn.microsoft.com/en-us/windows-hardware/test/wpt/event-tracing-for-windows
Стефанія А.
Автор Стефанія А.
Усі матеріали

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.