I ricercatori di Kaspersky hanno rilevato una nuova ondata di attacchi con DCRat, una backdoor distribuita attraverso video pubblicati su YouTube. Il malware è modulare e offre altre funzionalità, tra cui il furto delle password. Il cybercriminali che gestiscono l’infrastruttura non sono noti, ma sono certamente di origine russa.
Dettagli su DCRat
Gli esperti di Kaspersky hanno individuato nuovi attacchi all’inizio dell’anno. DCRat (Dark Crystal Remote Access Trojan) viene venduto ai cybercriminali in abbonamento utilizzando il noto modello MaaS (Malware-as-a-Service). I cybercriminali garantiscono supporto e forniscono l’infrastruttura, in particolare i server C2 (command and control).
La catena di infezione prevede innanzitutto la pubblicazione di video su YouTube tramite account fasulli o rubati. I video riguardano cheat per giochi, crack, bot e software simili. Il link a tali contenuti sono presenti nelle descrizioni dei video, insieme alla password necessaria per aprire gli archivi RAR protetti ospitati su servizi di file sharing legittimi.
All’interno degli archivi ci sono diversi file e directory, tra cui un’eseguibile che dovrebbe essere il tool pubblicizzato. In realtà è DCRat. All’avvio crea una backdoor che consente l’accesso remoto ai cybercriminali. Il malware è modulare, quindi può aggiungere altre funzionalità attraverso 34 plugin, tra cui keylogging (registrazione dei tasti premuti), accesso alla webcam e furto di password. In pratica è anche spyware e infostealer.
L’infrastruttura è composta da almeno 57 domini di secondo livello e oltre 40 domini di terzo livello che ospitano i server C2. In base alle telemetria di Kaspersky, la maggioranza delle vittime (80%) si trova in Russia. Altri utenti colpiti sono in Bielorussia, Kazakistan e Cina. Il consiglio è ovviamente quello di non scaricare nessun cheat o crack per giochi.
Ti potrebbe interessare
17 mar 2025