«Няши» и «крысы»: возвращение бэкдора DCRat

[BOOX]

С начала года мы фиксируем в нашей телеметрии новую волну активности по распространению бэкдора DCRat, платный доступ к которому предоставляет группа злоумышленников в рамках модели MaaS (Malware-as-a-Service).

Помимо этого, группа также обеспечивает поддержку зловреда и настраивает инфраструктуру для размещения командных серверов.

Распространение​

Бэкдор DCRat распространяется через видеохостинг YouTube. Атакующие создают поддельные аккаунты либо используют украденные и загружают видеоролики, которые рекламируют различные читы, кряки, игровых ботов и другое аналогичное ПО.

В описание видеоролика злоумышленники добавляют ссылку на скачивание якобы рекламируемого продукта. Она ведет на легитимный файлообменник, в котором находится запароленный архив, — пароль от него также указывается в описании под видео.

Для просмотра ссылки необходимо нажать Вход или Регистрация

Реклама чита и кряка на YouTube

Вместо игрового ПО в этих архивах содержится образец троянца DCRat, а также мусорные файлы и папки для усыпления бдительности жертвы.

Для просмотра ссылки необходимо нажать Вход или Регистрация

Архивы с образцом DCRat, маскирующимся под чит и кряк

Бэкдор​

Распространяемый таким образом бэкдор относится к семейству троянцев удаленного доступа DCRat, или Dark Crystal RAT (Remote Access Trojan), которое известно с 2018 года. Троянец также способен загружать дополнительные модули, значительно расширяющие его функциональность.

За весь период существования бэкдора нам удалось получить и проанализировать 34 различных плагина, наиболее опасными функциями которых являются запись нажатий клавиш, доступ к веб-камере, скачивание файлов и эксфильтрация паролей.

Для просмотра ссылки необходимо нажать Вход или Регистрация

Плагины для билдера DCRat в сервисе злоумышленников

Инфраструктура​

Для поддержки инфраструктуры злоумышленники регистрируют домены второго уровня (чаще всего в зоне RU) и на их основе создают домены третьего уровня, которые используются в качестве командных серверов. С начала года группа зарегистрировала как минимум 57 новых доменов второго уровня, пять из которых уже обслуживают более сорока доменов третьего уровня.

Отличительной чертой исследуемой кампании являются такие слова, используемые в доменах второго уровня вредоносной инфраструктуры, как nyashka, nyashkoon, nyashtyan и т. д. Пользователи, увлекающиеся японской поп-культурой, легко опознают в этих доменных именах сленг, используемый в фанатском сообществе. Среди поклонников аниме и манги слово «няша» стало синонимом слов «милый» и «любимый», и именно оно встречается в доменах второго уровня наиболее часто.

Для просмотра ссылки необходимо нажать Вход или Регистрация

Адреса командных серверов с характерным принципом именования

Жертвы​

Судя по данным нашей телеметрии, полученным с начала 2025 года, образцы DCRat, которые используют такие домены в качестве командных серверов, в 80% случаев загружались на устройства российских пользователей. Также со зловредом столкнулось небольшое количество пользователей из Беларуси, Казахстана и Китая.

Заключение​

Отметим, что мы также встречаем кампании, в которых через запароленные архивы распространяется и другое вредоносное ПО: стилеры, майнеры, загрузчики, поэтому настоятельно рекомендуем скачивать игровые продукты только из доверенных источников.

Для просмотра ссылки необходимо нажать Вход или Регистрация