Лаборатория Касперского обнаружила новую волну распространения вредоносной программы DCRat, при которой доступ к бэкдору предлагается по модели Malware-as-a-Service (MaaS).
DCRat Backdoor
Киберпреступная группа, стоящая за этим, предлагает не только само вредоносное ПО, но и поддержку и инфраструктуру для размещения серверов C2. Распространение DCRat осуществляется через платформу YouTube. Злоумышленники создают фальшивые аккаунты или используют украденные, чтобы загрузить видеоролики с рекламой читов, кряков, игровых ботов и другого подобного ПО. В описании видео указывается ссылка на скачивание, которая ведет к легальному файловому сервису с защищенным паролем архивом, содержащим DCRat и нежелательные файлы и папки, отвлекающие внимание жертвы. DCRat принадлежит к семейству троянцев удаленного доступа (RAT) и может загружать дополнительные модули для увеличения своей функциональности. Отмечается, что множество плагинов DCRat имеют опасные функции, такие как перехват нажатий клавиш, доступ к веб-камере, захват файлов и эксфильтрация паролей.
Что касается инфраструктуры, злоумышленники используют домены второго уровня (чаще всего в зоне RU) для создания доменов третьего уровня, на которых размещают серверы C2. Отмечается, что группа зарегистрировала уже более 57 новых доменов второго уровня с более чем 40 доменами третьего уровня. Интересно, что в доменах второго уровня появляются определенные сленговые термины, связанные с японской поп-культурой, такие как "няшка", "няшкон", "няштян". Это может быть особенно заметно для людей, интересующихся аниме и мангой.
Согласно данным исследования "Лаборатории Касперского", 80% образцов DCRat, использующих такие домены в качестве C2-серверов, были загружены на устройства пользователей в России. Однако небольшое количество пользователей из Беларуси, Казахстана и Китая также пострадало от этой вредоносной программы. В целом, данное исследование позволяет лучше понять характеристики и методы распространения DCRat, что поможет в борьбе с данным вирусом.
Indicators of Compromise
Domains
- 008529cm.nyashk.ru
- 024363cm.shnyash.ru
- 025813cm.nyashnyash.ru
- 045849cm.shnyash.ru
- 047506cm.nyanyash.ru
- 103705cm.nyashk.ru
- 120149cm.nyashnyash.ru
- 127004cm.shnyash.ru
- 136601cm.shnyash.ru
- 137777cm.nyashnyash.ru
- 140061cm.nyanyash.ru
- 148098cm.nyanyash.ru
- 192592cm.shnyash.ru
- 222390cm.nyashnyash.ru
- 233713cm.nyashnyash.ru
- 251037cm.nyashk.ru
- 253753cm.nyashk.ru
- 260348cm.nyashnyash.ru
- 268761cm.nyanyash.ru
- 285857cm.nyanyash.ru
- 289098cm.shnyash.ru
- 294210cm.nyashnyash.ru
- 317827cm.shnyash.ru
- 322461cm.shnyash.ru
- 334407cm.shnyash.ru
- 348309cm.nyashk.ru
- 367533cm.nyanyash.ru
- 389920cm.nyanyash.ru
- 392013cm.nyashnyash.ru
- 428982cm.shnyash.ru
- 430922cm.shnyash.ru
- 446068cm.nyanyash.ru
- 460629cm.nyashk.ru
- 463313cm.nyashnyash.ru
- 524871cm.shnyash.ru
- 532551cm.nyashnyash.ru
- 542148cm.nyanyash.ru
- 557844cm.nyashnyash.ru
- 568327cm.shnyash.ru
- 593412cm.nyanyash.ru
- 623127cm.nyashk.ru
- 657355cm.shnyash.ru
- 679356cm.shnyash.ru
- 704249cm.nyashnyash.ru
- 714280cm.nyanyash.ru
- 723360cm.nyanyash.ru
- 723486cm.nyashnyash.ru
- 741300cm.nyashnyash.ru
- 753333cm.nyashk.ru
- 758430cm.nyashk.ru
- 776437cm.nyanyash.ru
- 800811cm.nyashk.ru
- 802142cm.nyashk.ru
- 809172cm.shnyash.ru
- 821518cm.nyanyash.ru
- 831632cm.nyashnyash.ru
- 835725cm.nyanyash.ru
- 844666cm.nyanyash.ru
- 851078cm.nyashk.ru
- 856748cm.shnyash.ru
- 874381cm.nyashnyash.ru
- 879351cm.nyashk.ru
- 901125cm.nyashk.ru
- 908457cm.nyashk.ru
- 937946cm.nyashnyash.ru
- 946786cm.nyanyash.ru
- 947002cm.nyashk.ru
- 966489cm.nyashk.ru
