自 2025 年初以来,一波利用Dark Crystal RAT(简称 DCRat)后门的新型网络攻击,通过 YouTube 分发渠道瞄准了用户。
网络犯罪分子创建或入侵 YouTube 账户,上传宣传游戏作弊器、破解软件和机器人程序的视频,这些内容对那些寻求游戏优势或免费替代方案的玩家颇具吸引力。
这些视频的描述中包含指向合法文件共享服务的链接,这些服务托管着受密码保护的压缩文件,密码也在描述中给出,以此营造一种合法的假象。
当用户下载并解压这些压缩文件时,他们在不知不觉中会安装 DCRat 木马,同时还有一些诱饵文件,用于掩盖在后台进行的恶意活动。
Malware.news 的研究人员发现,这场攻击活动是在一种复杂的 “恶意软件即服务”(MaaS)模式下运作的。网络犯罪团伙提供付费访问该后门的机会,还提供全面的技术支持,以及设置命令与控制(C2)服务器的基础设施。
这种商业模式使得技术水平较低的攻击者也能够部署先进的恶意软件,极大地扩大了该攻击活动在游戏社区的波及范围和影响程度,因为在游戏社区中,用户经常寻求未经授权的软件修改。
自 2018 年起为人所知的 DCRat 后门,具备全面的远程访问功能,并支持插件架构以实现扩展功能。
对 34 种不同插件的安全分析显示出其危险的能力,包括用于捕获敏感信息的键盘记录、未经授权访问网络摄像头进行监视、系统性文件窃取,以及从浏览器和应用程序中提取存储的凭证。
支持这些攻击的基础设施在域名命名方面呈现出一种独特的模式,这为追踪该攻击活动提供了线索。
攻击者注册二级域名,主要集中在.ru 域名区域,使用诸如 “nyashka”“nyashkoon” 和 “nyashtyan” 等词汇,这些是日本流行文化爱好者熟知的俚语,意思是 “可爱的” 或 “亲爱的”。
自 2025 年 1 月以来,该团伙已注册了至少 57 个新的二级域名,其中五个二级域名已经为 40 多个 C2 服务器托管了三级域名。
攻击者网站上提供的 DCRat 生成器插件,展示了该恶意软件的模块化特性,这使得攻击者能够根据受害者的情况和自身目标定制攻击能力。
防护措施
用户在下载与游戏相关的软件时,尤其是非官方的作弊器、破解软件或机器人程序(这些程序承诺可免费访问高级功能)时,应格外谨慎。
由于这些类型的文件对寻求游戏优势或付费软件免费替代方案的玩家具有吸引力,因此它们经常被用作恶意软件分发活动的诱饵。
安全专家建议仅从官方来源(如开发者网站或授权分发平台)下载软件,因为这些渠道实施了验证流程以防止恶意软件传播。
发表评论
您还未登录,请先登录。
登录