Злоумышленники распространяют вредоносное ПО через YouTube-каналы

Атакующие используют индивидуальные сборки DCRat. Это вредоносное ПО распространяется по модели MaaS (Malware-as-a-Service, «Вредоносное ПО как услуга»). Бэкдор позволяет злоумышленникам удалённо контролировать заражённый компьютер. Вредонос способен скачивать на устройство дополнительные модули, расширяющие функциональность DCRat. Это могут быть, например, кейлоггеры (клавиатурные шпионы), стилеры, троянцы, предоставляющие доступ к веб-камере.

«Интересно, что злоумышленники, которые обеспечивают поддержку DCRat и настройку инфраструктуры, использовали в рамках новой вредоносной кампании в качестве командных центров домены второго уровня со словами nyashka, nyashkoon, nyashtyan. Люди, увлекающиеся японской культурой, легко узнают „тян”, „кун”, „ня”. Среди поклонников аниме и манги слово „няша” стало синонимом слова „милый” или „любимый”, оно используется в доменах второго уровня наиболее часто», — комментирует Олег Купреев, эксперт по кибербезопасности в «Лаборатории Касперского». 

Для распространения DCRat злоумышленники создавали поддельные YouTube-аккаунты. Они загружали видео, в которых рассказывали о читах, игровых ботах и других утилитах, позволяющих получить доступ к играм или преимущество в них. В описании к роликам атакующие добавляли фальшивые ссылки на сайт, где якобы можно было скачать рекламируемые продукты. Чаще всего они вели к запароленному архиву на файлообменнике. Пароль также был указан в описании к видеоролику. Однако, если пользователь открывал вредоносное содержимое, например кликал на иконку-приложение запуска чита, начиналась загрузка бэкдора.