За 5 долларов можно получить полный доступ к чьему-либо компьютеру на два месяца. Кейлоггинг, веб-камера, пароли, файлы. Вредоносная программа называется DCRat (Dark Crystal RAT) - троянец удаленного доступа, ориентированный на Windows (Remote Access Trojan, RAT), не запускается в Linux (Thank you God we have Linux!), который с 2018 года продается как вредоносное ПО как услуга (Malware as Service, MaaS). Был впервые обнаружен в 2019 году. Он создан единственным разработчиком, известным под никами ''boldenis44'', ''crystalcoder'' и ''qwqdanchun''. С момента появления DCRat постоянно обновлялся и дополнялся новыми модулями как самим автором, так и сторонними аффилиатами.
Написанный на C#, он позволяет злоумышленникам получать несанкционированный постоянный доступ к скомпрометированной системе для кражи информации и выполнения команд. Особые приметы: поддельный синий экран смерти, который обманывает людей, заставляя их взламывать самих себя.
Основные возможности
DCRat обладает высокой универсальностью благодаря своей архитектуре на основе плагинов, которая позволяет злоумышленникам адаптировать его функциональность. Его возможности включают:
Кража информации: кража учетных данных, файлов cookie и истории посещений из браузеров и FTP-клиентов; регистрация нажатий клавиш (кейлоггер); создания скриншотов; сбор данных из буфера обмена.
Контроль системы: выполнение команд командной строки, управление файлами и процессами, изменение системных настроек (например, смена обоев или создание учетных записей), а также загрузка/ запуск дополнительных вредоносных программ.
Наблюдение: доступ к микрофону и веб-камере жертвы.
Сетевые атаки: Запуск распределенных атак типа "Отказ в обслуживании" (DDoS) на целевые веб-сайты.
Способы доставки
Злоумышленники используют различные методы распространения DCRat и избегают обнаружения, в том числе:
Фишинговые электронные письма: заманивают жертв поддельными подтверждениями бронирования, правительственной корреспонденцией или другими срочными сообщениями, чтобы те переходили по вредоносным ссылкам или открывали зараженные вложения.
Вредоносные архивы: использование защищенных паролем файлов формата ZIP или RAR, пароль для которых указан в тексте электронного письма, в обход обычных сканеров электронной почты.
Контрабанда HTML: встраивание и маскировка вредоносной информации в HTML-файл, который активируется при открытии в браузере.
Методы "жизни за пределами земли" (LotL): Использование законных системных двоичных файлов, таких как Microsoft Build Engine (MSBuild.exe), для выполнения прокси-сервера и обхода механизмов обнаружения конечных точек.
Поддельное программное обеспечение /взломы: распространение вредоносного ПО по ссылкам в описаниях видео на YouTube, которые обещают читы или взломы для игр.
Меры борьбы
Для защиты от DCRat и подобных угроз эксперты по безопасности рекомендуют следующие меры:
* Поддерживайте обновленное антивирусное программное обеспечение.
* Будьте осторожны с нежелательными электронными письмами и вложениями, особенно с теми, которые вызывают ощущение срочности.
* Внедрите политики безопасности, которые блокируют запуск неизвестных или подозрительных файлов.
* Проведите обучение сотрудников по безопасности, чтобы они могли распознавать попытки фишинга.
* При подозрении на заражение используйте надежное программное обеспечение для обеспечения безопасности, такое как Malwarebytes или Microsoft Defender Antivirus, для сканирования и устранения угрозы.
Количество атак с использованием кликфиксов выросло на 517% за шесть месяцев. В настоящее время это второй по распространенности после фишинга способ атаки. 8% всех заблокированных атак. Кампания, раздающая сервис за 5 долларов, называется PHALT#BLYX. Securonix опубликовала свой анализ 5 января 2026 года.
Приходит электронное письмо с темой "Отмена бронирования". Представляется, что отправителем является Booking.com. В сообщении упоминается о возврате более 1000 евро и содержится призыв к получателю нажать на ссылку и просмотреть. Booking.com ранее это было популярно в ходе аналогичных кампаний в 2023 и 2024 годах.
Ссылка ведет на идеальный клон сайта Booking.com с правильными цветами, логотипами и шрифтами. Неотличимый от реального сайта.
Затем появляется ошибка загрузки. "Слишком долго загружается. Нажмите, чтобы обновить". Один клик - и браузер переходит в полноэкранный режим.
Синий экран смерти заполняет весь экран.
Но Windows не выходит из строя. Эта веб-страница создана таким образом, чтобы выглядеть в точности как системный сбой. Жертва не может легко сбежать.
Появляются инструкции: нажмите Win+R, затем CTRL+V, затем Enter.
Вредоносная веб-страница запускает JavaScript, который автоматически копирует команду PowerShell в буфер обмена в тот момент, когда вы нажимаете на нее. Вы никогда не увидите, как это произойдет. Когда вы нажимаете CTRL+V в диалоговом окне запуска, это уже там.
Жертва думает, что она чинит свой компьютер. На самом деле они вставляют вредоносную команду PowerShell, которая была незаметно скопирована в их буфер обмена.
Команда загружает файл project и Windows самостоятельно MSBuild.exe компилирует его в вредоносную программу. Это называется "жить за пределами сети": использовать надежные системные средства против пользователя.
Вредоносная программа отключает защитник Windows, добавляет исключения и устанавливает постоянство. Затем она внедряет конечную полезную нагрузку в процесс Windows.
Полезной нагрузкой является DCRat. Троян для удаленного доступа (напомню - доступный с 2018 года). Цена на подпольных форумах: 5 долларов за два месяца. 40 долларов за пожизненный доступ.
Ещё раз кратко - что может делать DCRat:→ Кейлоггинг, доступ к веб-камере, кража файлов, извлечение пароля, удаленный рабочий стол, удаление дополнительных вредоносных программ
В ходе этой кампании злоумышленники также установили криптомайнер. Известно, что брокеры первоначального доступа, такие как TA571, которые продвигают ClickFix с марта 2024 года, продают подобный доступ группам программ-вымогателей.
ClickFix впервые был замечен в марте 2024 года. Он был запущен, потому что обходил практически все. Нет вредоносного файла для проверки и эксплойта для исправления. Жертва самостоятельно запускает команду.
С тех пор официальные сообщения связывали ClickFix с государственными структурами из России, Северной Кореи, Ирана и Пакистана. Но в сфере кибербезопасности установление авторства является одной из самых сложных проблем. IP-адреса могут быть подделаны, инструменты могут совместно использоваться группами, а артефакты кода могут быть внедрены, чтобы ввести в заблуждение исследователей.
Что делать:
→ Никогда не вставляйте команды с веб-сайтов в Run или PowerShell
→ Если в браузере появляется сообщение BSOD, закройте его (Alt+F4 или Ctrl+W).
Оценили 2 человека
6 кармы