С начала года специалисты «Лаборатории Касперского» отмечают рост активности, связанной с распространением бэкдора DCRat. Доступ к нему злоумышленники предоставляют в рамках схемы MaaS (Malware-as-a-Service), а также обеспечивают его поддержку и настраивают инфраструктуру для работы командных серверов.
Распространение вредоносного ПО осуществляется через видеохостинг YouTube. Для этого используются поддельные либо взломанные аккаунты, на которых публикуются ролики с рекламой читов, кряков, игровых ботов и другого софта. В описании под видео содержится ссылка, ведущая на легитимный файлообменник. Там пользователям предлагается скачать запароленный архив, а пароль также указывается в описании.
Внутри архива, вместо обещанного игрового софта, оказывается бэкдор DCRat, а также набор ненужных файлов и папок, призванных отвлечь внимание жертвы.
Этот вредонос принадлежит к семейству троянцев удалённого доступа DCRat, или Dark Crystal RAT, известных с 2018 года. Он способен загружать дополнительные модули, значительно расширяя свои возможности. Эксперты проанализировали 34 различных плагина, выявленных за всё время существования угрозы. Наиболее опасные из них позволяют записывать нажатия клавиш, перехватывать изображение с веб-камеры, загружать файлы и похищать сохранённые пароли.
Для поддержания инфраструктуры злоумышленники регистрируют домены второго уровня, чаще всего в зоне RU, а затем создают на их основе домены третьего уровня, которые выполняют функцию командных серверов. По данным специалистов, с начала года было зарегистрировано не менее 57 новых доменов второго уровня, из которых пять уже обслуживают свыше сорока доменов третьего уровня.
Особенностью этой вредоносной кампании является характерный выбор слов в именах доменов второго уровня. Среди них встречаются nyashka, nyashkoon, nyashtyan и другие подобные варианты. Любители японской поп-культуры без труда узнают в этих названиях сленг, распространённый в фанатском сообществе. В среде поклонников аниме и манги слово «няша» ассоциируется с чем-то милым и приятным, и именно оно чаще всего используется в доменных именах этой вредоносной инфраструктуры.
Полная версия отчёта доступна по ссылке.
Оригинал публикации на сайте CISOCLUB: "«Няши» и «крысы»: возвращение бэкдора DCRat".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.