Рост распространения DCRat через YouTube: новая угроза
Источник: securelist.com
В последние месяцы кибербезопасность вновь оказалась под угрозой из-за активного распространения DCRat — троянской программы удаленного доступа (RAT), известной с 2018 года. Наиболее распространенной платформой для распространения DCRat стали видеоролики на YouTube, где киберпреступники используют модель «Вредоносное ПО как услуга» (MaaS).
Как работает схема распространения DCRat
Киберпреступники предлагают платный доступ к бэкдору DCRat и помогают в настройке инфраструктуры для серверов управления (C2). Для продвижения вредоносного программного обеспечения злоумышленники используют:
- Поддельные или скомпрометированные аккаунты YouTube;
- Видеоролики с утверждениями о наличии читов, взломов и ботов для игр;
- Вводящие в заблуждение ссылки на законные файлообменные сервисы.
Несмотря на кажущуюся безобидность, эти ссылки ведут к защищенным паролем архивам, содержащим DCRat, а также доброкачественные файлы для отвлечения внимания жертв.
Функциональные возможности DCRat
DCRat не только служит бэкдором, но и способен загружать дополнительные плагины, значительно расширяющие его функциональность. Анализ показал наличие 34 различных плагинов с такими важными функциями, как:
- Регистрация нажатий клавиш;
- Доступ к веб-камере;
- Извлечение файлов;
- Удаление пароля.
Стратегия и целевая аудитория
Киберпреступная группировка использует домены второго уровня в основном в российской зоне. Злоумышленники стратегически именуют свои домены, используя термины, связанные с японской поп-культурой, такими как «няшка», чтобы привлечь внимание поклонников аниме и манги. На данный момент зарегистрировано более 57 новых доменов второго уровня, многие из которых поддерживают несколько доменов третьего уровня для операций C2.
Телеметрия показывает, что около 80% образцов DCRat, использующих эти домены в качестве серверов C2, загружаются пользователями в России. В Беларуси, Казахстане и Китае зафиксировано минимальное проникновение, что подчеркивает целевой характер данной кибератаки.
Рекомендации для пользователей
Образцы DCRat классифицируются как Backdoor.MSIL.DCRat по версии Kaspersky, и данное вредоносное ПО не является единственной угрозой. Другие типы вредоносных программ, такие как программы для кражи данных, майнеры и загрузчики, также используют аналогичные тактики с защищенными паролем архивами.
Пользователям настоятельно рекомендуется:
- Проявлять осторожность при загрузке программного обеспечения;
- Использовать только надежные источники для загрузки игровых приложений;
- Регулярно обновлять антивирусное программное обеспечение.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
