С начала этого года компания Касперского обнаружила новые атаки троянского вируса DCRat среди своих клиентов. Злоумышленники, распространяя этот вирус для Windows, размещают вредоносные ссылки на YouTube и делают вид, что это популярные игровые боты, читы или кряки, которые могут заинтересовать геймеров.
Удивительно, что серверы управления DCRat находятся на доменах с названиями, связанными с японской поп-культурой. Видеоролики, которые рекламируют фейковое программное обеспечение для улучшения игрового опыта или рейтинга, загружаются с взломанных или специально созданных аккаунтов. В описании видео есть ссылки на сайты, где можно скачать полезные программы.
При анализе было обнаружено, что за такими ссылками чаще всего скрывается запароленный RAR-файл с легального файлообменника. Вместо обещанного кряка или чита в архиве на самом деле находится вредоносный вирус DCRat.
Для управления вирусом, злоумышленники регистрируют домены (обычно в зоне RU) и создают поддомены. Исследователи нашли 57 регистраций в рамках текущей кампании с использованием DCRat. Под пятью аккаунтами было создано более 40 доменов третьего уровня.
Эксперт из компании Касперского отметил, что злоумышленники используют домены второго уровня с названиями, связанными с японской культурой, для управления вирусом DCRat. Этот вирус известен с 2018 года и способен загружать дополнительные компоненты для расширения своей функциональности, такие как регистрация нажатий клавиш, работа с веб-камерой и кража паролей.
С начала года более тысячи пользователей, в основном из России, столкнулись с атаками DCRat. Также были попытки заражения в Беларуси, Казахстане и Китае.
© KiberSec.ru – 02.04.2025, обновлено 02.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
