IBM X-Force предупредил о росте активности трояна DCRat в Латинской Америке, где злоумышленники используют изощренные фишинговые схемы для заражения жертв. В начале мая 2025 года группа Hive0131, вероятно, базирующаяся в Южной Америке, рассылала поддельные уведомления от имени судебных органов Колумбии. Письма содержали ссылки на вредоносные файлы, ведущие к загрузке банковского трояна DCRat прямо в память устройства.
Описание
DCRat, доступный как Malware-as-a-Service (MaaS) на русскоязычных форумах за $7 за подписку, обладает широким набором функций: обход защиты AMSI, кража данных, запись с камеры и микрофона, а также возможность выполнения произвольных команд с сервера злоумышленников. В отличие от кампаний 2024 года, где использовались архивы RAR с GuLoader, новые атаки полагаются на .NET-загрузчик VMDetectLoader, способный обнаруживать виртуальные среды и внедрять вредоносный код в легитимные процессы.
Аналитики IBM X-Force выявили два основных сценария заражения: через PDF-файлы с сокращенными ссылками TinyURL и вложения в Google Docs. В первом случае жертва скачивает ZIP-архив с вредоносным JavaScript, который запускает PowerShell-скрипт для загрузки трояна. Во втором - парольный архив содержит BAT-файл, инициирующий цепочку из VBScript и PowerShell, завершающуюся внедрением DCRat через VMDetectLoader.
Загрузчик, основанный на открытом проекте VMDetector, активно проверяет окружение на признаки анализа, а для обеспечения персистентности создает задачи в планировщике Windows или добавляет автозагрузку в реестр. DCRat же, будучи загруженным, начинает красть конфиденциальные данные, что делает его особо опасным для корпоративных и частных пользователей.
Эксперты рекомендуют усилить контроль за подозрительными письмами, особенно имитирующими официальные органы, и регулярно обновлять системы защиты. Распространение DCRat в Латинской Америке продолжает расти, что требует повышенного внимания со стороны ИБ-специалистов региона.
Индикаторы компрометации
URLs
- http://paste.ee/d/bx699sF9/0
- http://paste.ee/d/jYHEqBJ3/0
- https://archive.org/download/new_ABBAS/new_ABBAS.jpg
- https://docs.google.com/uc?export=download&id=1aJuQtm8YUqZv12E-atslt_GvBWZNbWIK
- https://ia601205.us.archive.org/26/items/new_image_20250430/new_image.jpg
- https://tinyurl.com/2ypy4jrz?id=5541213d-0ed8-4516-82e7-5460d4ebaf3b
SHA256
- 0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7
- 1603c606d62e7794da09c51ca7f321bb5550449165b4fe81153020021cbce140
- 3c95678d140825b56e04298ce6238ce22b34611d2582ac736c909296ca137ed1
- 4ce1d456fa8831733ac01c4a2a32044b6581664d311b8791bb2efaa2a1d01f17
- 6a632d8356f42694adb21c064aa9e8710b65adddfdf2209d293ded12fe3d46a7
- 7c3fbea63b7cdf013ef26831bb1850c80f4bfad0103328de106b3d5491372ccf
- b16588e0e2c6a0c8ff080ded57abe8159008d040aea78b2e801c17ce79f05863
- ceb88c09069b5ddc8ca525b7f2e26c4852465bc0ed7c665df39c646287a2f17e
- db21cc64fb7a7ed9075c96600b7e7e7007a0df7cb837189c6551010a6f828590
