網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了新一波攻擊——Dark Crystal RAT（DCRat）。這是一種危險(xiǎn)的遠(yuǎn)程訪問木馬，它通過惡意軟件即服務(wù)（MaaS）模型重新出現(xiàn)。

攻擊者主要瞄準(zhǔn)游戲玩家，通過 YouTube 傳播偽裝成游戲作弊和破解程序的惡意軟件。

惡意軟件傳播利用 YouTube 平臺

DCRat 背后的攻擊者將 YouTube 當(dāng)作主要分發(fā)渠道，他們創(chuàng)建虛假或劫持的賬戶，上傳宣傳所謂游戲作弊、破解、機(jī)器人及類似軟件的視頻。每個(gè)視頻描述都包含一個(gè)下載鏈接，引導(dǎo)用戶訪問托管受密碼保護(hù)檔案的合法文件共享服務(wù)，密碼也在同一描述中提供，使整個(gè)過程看似可信。

YouTube 視頻廣告，宣傳欺騙和破解

但這些檔案并非提供所承諾的游戲工具，而是包含隱藏在各種垃圾文件和文件夾中的 DCRat 惡意軟件，這些垃圾文件和文件夾旨在分散受害者的注意力。

DCRat，即 Dark Crystal RAT，于 2018 年首次出現(xiàn)，如今已演變成一種復(fù)雜的威脅。該惡意軟件作為后門運(yùn)行，讓攻擊者能遠(yuǎn)程訪問受感染設(shè)備。此外，DCRat 支持模塊化插件，極大地增強(qiáng)了其功能。研究人員已發(fā)現(xiàn)與該惡意軟件家族相關(guān)的 34 個(gè)不同插件，涵蓋按鍵記錄、網(wǎng)絡(luò)攝像頭監(jiān)視、文件盜竊和密碼泄露等危險(xiǎn)功能。

攻擊者網(wǎng)站上的 DCRat 構(gòu)建器插件

利用動(dòng)漫主題域名

在基礎(chǔ)設(shè)施方面，為托管命令和控制（C2）服務(wù)器，網(wǎng)絡(luò)犯罪分子注冊了許多二級域名（主要在俄羅斯的 “.ru” 域名區(qū)域內(nèi)），并創(chuàng)建多個(gè)三級域名用于操作。僅自 2025 年初以來，攻擊者就注冊了至少 57 個(gè)新的二級域名。有趣的是，這些域名常包含受動(dòng)漫啟發(fā)的俚語，如 “nyashka”“nyashkoon” 和 “nyashtyan”，容易引起日本流行文化愛好者的共鳴。

采用特征命名方法的 C2 服務(wù)器地址

遙測數(shù)據(jù)顯示，俄羅斯是此次活動(dòng)的主要目標(biāo)，約 80% 的感染發(fā)生在那里。其他受影響地區(qū)包括白俄羅斯、哈薩克斯坦和中國。卡巴斯基安全解決方案將該惡意軟件檢測為 “Backdoor.MSIL.DCRat”。

專家強(qiáng)烈建議用戶只從可信來源下載游戲相關(guān)軟件，避免因非官方渠道分發(fā)的受密碼保護(hù)檔案帶來感染風(fēng)險(xiǎn)。

參考及來源：https://gbhackers.com/dcrat-malware-spreading-via-youtube/