Авторы
С начала года мы фиксируем в нашей телеметрии новую волну активности по распространению бэкдора DCRat, платный доступ к которому предоставляет группа злоумышленников в рамках модели MaaS (Malware-as-a-Service). Помимо этого, группа также обеспечивает поддержку зловреда и настраивает инфраструктуру для размещения командных серверов.
Распространение
Бэкдор DCRat распространяется через видеохостинг YouTube. Атакующие создают поддельные аккаунты либо используют украденные и загружают видеоролики, которые рекламируют различные читы, кряки, игровых ботов и другое аналогичное ПО. В описание видеоролика злоумышленники добавляют ссылку на скачивание якобы рекламируемого продукта. Она ведет на легитимный файлообменник, в котором находится запароленный архив, — пароль от него также указывается в описании под видео.
Реклама чита и кряка на YouTube
Вместо игрового ПО в этих архивах содержится образец троянца DCRat, а также мусорные файлы и папки для усыпления бдительности жертвы.
Архивы с образцом DCRat, маскирующимся под чит и кряк
Бэкдор
Распространяемый таким образом бэкдор относится к семейству троянцев удаленного доступа DCRat, или Dark Crystal RAT (Remote Access Trojan), которое известно с 2018 года. Троянец также способен загружать дополнительные модули, значительно расширяющие его функциональность. За весь период существования бэкдора нам удалось получить и проанализировать 34 различных плагина, наиболее опасными функциями которых являются запись нажатий клавиш, доступ к веб-камере, скачивание файлов и эксфильтрация паролей.
Плагины для билдера DCRat в сервисе злоумышленников
Инфраструктура
Для поддержки инфраструктуры злоумышленники регистрируют домены второго уровня (чаще всего в зоне RU) и на их основе создают домены третьего уровня, которые используются в качестве командных серверов. С начала года группа зарегистрировала как минимум 57 новых доменов второго уровня, пять из которых уже обслуживают более сорока доменов третьего уровня.
Отличительной чертой исследуемой кампании являются такие слова, используемые в доменах второго уровня вредоносной инфраструктуры, как nyashka, nyashkoon, nyashtyan и т. д. Пользователи, увлекающиеся японской поп-культурой, легко опознают в этих доменных именах сленг, используемый в фанатском сообществе. Среди поклонников аниме и манги слово «няша» стало синонимом слов «милый» и «любимый», и именно оно встречается в доменах второго уровня наиболее часто.
Адреса командных серверов с характерным принципом именования
Жертвы
Судя по данным нашей телеметрии, полученным с начала 2025 года, образцы DCRat, которые используют такие домены в качестве командных серверов, в 80% случаев загружались на устройства российских пользователей. Также со зловредом столкнулось небольшое количество пользователей из Беларуси, Казахстана и Китая.
Заключение
Продукты «Лаборатории Касперского» детектируют описанные в статье образцы с вердиктом Backdoor.MSIL.DCRat.
Отметим, что мы также встречаем кампании, в которых через запароленные архивы распространяется и другое вредоносное ПО: стилеры, майнеры, загрузчики, поэтому настоятельно рекомендуем скачивать игровые продукты только из доверенных источников.
Авторы
«Няши» и «крысы»: возвращение бэкдора DCRat