В «Лаборатории Касперского»
необычную вредоносную кампанию по распространению бэкдора DCRat, активную с начала 2025 года.
С атаками столкнулись более 1000 пользователей в разных странах мира, но большинство пострадавших находятся в России.
DCRat (он же Dark Crystal RAT) известен специалистам с 2018 года. Вредонос способен загружать дополнительные модули, значительно расширяющие его функциональность. За весь период существования бэкдора экспертам удалось изучить 34 плагина, наиболее опасными функциями которых являются перехват нажатий клавиш, доступ к веб-камере, скачивание файлов и эксфильтрация паролей.
Малварь распространяется по модели MaaS (Malware-as-a-Service, «Малварь-как-услуга»), поэтому атакующие используют индивидуальные сборки DCRat.
Плагины для билдера DCRat в сервисе злоумышленников
В рамках новой кампании злоумышленники создают аккаунты на YouTube или взламывают чужие учетные записи, и загружают видео, в которых рассказывается о читах, кряках, игровых ботах и других утилитах, позволяющих получить доступ к играм или преимущество в них.
В описании к роликам атакующие размещают фальшивые ссылки на сайт, где якобы можно было скачать рекламируемые продукты. Чаще всего такие ссылки ведут к запароленному архиву на файлообменнике, пароль для которого указан в описании к ролику.
Вместо игрового ПО в таких архивах содержится DCRat, а также мусорные файлы и папки для усыпления бдительности жертвы.
Для поддержки инфраструктуры злоумышленники регистрируют домены второго уровня (чаще всего в зоне RU) и на их основе создают домены третьего уровня, которые используются в качестве управляющих серверов.
С начала 2025 года хакеры зарегистрировали как минимум 57 новых доменов второго уровня, пять из которых уже обслуживают более 40 доменов третьего уровня.
Адреса управляющих серверов с характерным принципом именования
Исследователи отмечают, что с начала 2025 года образцы DCRat в 80% случаев загружались на устройства российских пользователей, но также с малварью столкнулось небольшое количество пользователей из Беларуси, Казахстана и Китая.
С атаками столкнулись более 1000 пользователей в разных странах мира, но большинство пострадавших находятся в России.
DCRat (он же Dark Crystal RAT) известен специалистам с 2018 года. Вредонос способен загружать дополнительные модули, значительно расширяющие его функциональность. За весь период существования бэкдора экспертам удалось изучить 34 плагина, наиболее опасными функциями которых являются перехват нажатий клавиш, доступ к веб-камере, скачивание файлов и эксфильтрация паролей.
Малварь распространяется по модели MaaS (Malware-as-a-Service, «Малварь-как-услуга»), поэтому атакующие используют индивидуальные сборки DCRat.
Плагины для билдера DCRat в сервисе злоумышленников
В рамках новой кампании злоумышленники создают аккаунты на YouTube или взламывают чужие учетные записи, и загружают видео, в которых рассказывается о читах, кряках, игровых ботах и других утилитах, позволяющих получить доступ к играм или преимущество в них.
В описании к роликам атакующие размещают фальшивые ссылки на сайт, где якобы можно было скачать рекламируемые продукты. Чаще всего такие ссылки ведут к запароленному архиву на файлообменнике, пароль для которого указан в описании к ролику.
Вместо игрового ПО в таких архивах содержится DCRat, а также мусорные файлы и папки для усыпления бдительности жертвы.
Для поддержки инфраструктуры злоумышленники регистрируют домены второго уровня (чаще всего в зоне RU) и на их основе создают домены третьего уровня, которые используются в качестве управляющих серверов.
С начала 2025 года хакеры зарегистрировали как минимум 57 новых доменов второго уровня, пять из которых уже обслуживают более 40 доменов третьего уровня.
Адреса управляющих серверов с характерным принципом именования
Исследователи отмечают, что с начала 2025 года образцы DCRat в 80% случаев загружались на устройства российских пользователей, но также с малварью столкнулось небольшое количество пользователей из Беларуси, Казахстана и Китая.
