DCRAT arka kapısını içeren yeni bir kampanya yakın zamanda ortaya çıktı ve YouTube’u birincil dağıtım kanalı olarak kullandı.
Yılın başından bu yana, saldırganlar sahte veya çalıntı hesaplar oluşturarak kullanıcıları hedeflemek için popüler video paylaşım platformunu kullanıyorlar.
Bu kötü niyetli aktörler, hileler, çatlaklar, oyun botları ve diğer yasadışı yazılımlar sunuyor gibi görünen videolar yüklüyor ve izleyicileri bu araçları indirmek için cazipleştiriyor.
Bununla birlikte, indirmeler bunun yerine DCRAT Truva atını barındıran şifre korumalı bir arşiv içeriyor.
Kötü amaçlı yazılım nasıl yayılır
Saldırganlar, popüler oyunlar için hileleri ve çatlakları reklam veren cazip başlıklar ve açıklamalarla YouTube’da video yayınlar.
Video açıklamaları, kötü amaçlı yazılımın barındırıldığı meşru bir dosya paylaşım hizmetine bağlantı içerir.
İndirildikten sonra kullanıcı, kurbanı indirmenin meşru olduğuna ikna etmek için tasarlanmış önemsiz dosyalar ve klasörlerle şifre korumalı bir arşiv bulur. Bununla birlikte, ekstraksiyon üzerine arşiv, Decoy dosyalarının yanında DCRAT arka kapısını ortaya çıkarır.
DCRAT arka kapı detayları
Dark Kristal Sıçan olarak da bilinen DCRAT, 2018’den beri dolaşımda olan uzaktan erişim Truva atı (sıçan).
Bu kötü amaçlı yazılım, yeteneklerini önemli ölçüde genişleterek ek modüller indirebilir.
Securelist raporuna göre, araştırmacılar DCRAT için tuş vuruşu kaydı, web kamerası erişimi, dosya indirme ve şifre eksfiltrasyonu gibi tehlikeli özellikleri içeren 34 eklenti belirlediler. Bu işlevler kullanıcı gizliliği ve güvenlik için önemli bir tehdit oluşturmaktadır.
Operasyonlarını desteklemek için, saldırganlar öncelikle RU bölgesinde olmak üzere ikinci seviye alan adlarını kaydeder ve komut ve kontrol (C&C) sunucuları olarak işlev gören üçüncü düzey alanlar oluşturur.
Özellikle, bu alanlar genellikle anime ve manga fan topluluklarında popüler terimler olan “Nyashka” veya “NyashKoon” gibi kelimeleri içerir.
2025’in başlangıcından bu yana, grup en az 57 yeni ikinci seviye alan kaydetti ve beş tanesi C&C sunucusu olarak 40’tan fazla üçüncü düzey alana ev sahipliği yaptı.
Kurban demografisi
Telemetri verilerine dayanarak, Rus kullanıcıları en çok etkilenenler olmuştur ve vakaların% 80’inde cihazlarına indirilmiş DCRAT örnekleri.
Belarus, Kazakistan ve Çin’den daha az sayıda kullanıcı da kötü amaçlı yazılımlarla karşılaştı.
Kaspersky Lab ürünleri DCRAT örneklerini “backdoor.msil.dcrat” kararıyla başarıyla tespit ediyor.
Bu kampanya, kötü niyetli faaliyetler için meşru platformlar kullanmanın artan eğilimini gösterdiğinden, kullanıcıların özellikle güvenilmeyen kaynaklardan yazılım indirirken dikkatli olması çok önemlidir.
Kullanıcılara, bu tür kötü amaçlı yazılım dağıtım taktiklerine mağdur olmaktan kaçınmak için oyun ürünlerini yalnızca güvenilir kaynaklardan indirmeleri tavsiye edilir.
Dahası, şifre korumalı arşivlerin kötü amaçlı yazılımların yayılmasına katılımı, saldırganların kaçınma tespitinde karmaşıklığını ve uyarlanabilirliğini vurgulamaktadır.
DCRAT’ın yanı sıra, çalıcılar, madenciler ve indiriciler gibi diğer kötü amaçlı yazılım türleri de benzer yöntemlerle dağıtılır, bu da uyanıklık ihtiyacını ve güvenilir güvenlik yazılımlarının kullanımını vurgular.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.