Троян DcRAT использует фейковый контент OnlyFans для распространения

Екатерина Быстрова 20 Июня 2023 - 10:58

...

Троян DcRAT использует фейковый контент OnlyFans для распространения

В новой кампании киберпреступников используется фейковый контент OnlyFans и приманки, рассчитанные на взрослых. На деле же пользователи получают в систему троян DcRAT, открывающий удалённый доступ к компьютеру.

DcRAT может красть и передавать операторам данные с устройства жертв. Но даже более опасная его фича заключается в возможности устанавливать дополнительную программу-вымогатель.

На кампанию обратили внимание специалисты eSentire. По их словам, злоумышленники действуют в таком ключе с января 2023 года. Атакующие рассылают ZIP-архивы, в которых содержится загрузчик в формате VBScript.

Задача — обманом заставить жертву запустить лоадер. Для этого пользователю обещают доступ к платному контенту OnlyFans. Пока неясно, как именно распространяется вредонос, но специалисты полагают, что ссылки на него могут постить на форумах или присылать в мессенджерах. Злоумышленники также могут использовать «чёрную SEO-оптимизацию», чтобы продвинуть злонамеренные сайты на первые позиции поисковой выдачи.

Один из семплов, который приводят исследователи из Eclypsium, замаскирован под фотографии, на которых в обнажённом виде изображена американская порноактриса Миа Халифа.

VBScript-лоадер является минимальной модифицированной и обфусцированной версией скрипта, который засветился в кампании 2021 года. Тогда на него указала команда Splunk. В сущности, это слегка изменённый скрипт печати Windows.

При запуске вредонос проверяет архитектуру операционной системы с помощью WMI. После этого извлекается встроенная DLL (dynwrapx.dll) и регистрируется через команду Regsvr32.exe. Такой подход открывает зловреду доступ к инструменту DynamicWrapperX, позволяющему осуществлять функции вызовов из API Windows или других DLL-файлов.

Пейоад с именем BinaryData загружается в память и внедряется в процесс RegAsm.exe, легитимную часть .NET Framework. В этом случае шанс на детектирование вредоноса антивирусами резко падает.

Конечный троян DcRAT представляет собой модифицированную версию AsyncRAT, доступного любому желающему на GitHub.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 27 Октября 2025 - 14:23

Корпорации Системы мониторинга событий безопасности SIEM-системы Средства управления информационной безопасностью SOAR (Security Orchestration, Automation and Response) ГК «Солар»

На рынок вышел продукт Solar SIEM, объединяющий SIEM и SOAR

Группа компаний «Солар» вывела на рынок новый продукт — Solar SIEM, который объединяет две ключевые технологии в одном решении: SIEM и SOAR. Такой подход, по оценке разработчиков, позволяет сократить до 40% затрат на внедрение систем для центров мониторинга кибербезопасности (SOC).

Продукт ориентирован на три категории заказчиков: компании, которые строят SOC с нуля, организации, работающие по гибридной модели, и бизнесы, замещающие иностранные SIEM-платформы.

Solar SIEM создан с учётом практического опыта Центра противодействия кибератакам Solar JSOC. Экспертиза специалистов центра включена в продукт «из коробки» — в частности, за счёт встроенных фидов 4rays, которые обеспечивают актуальную аналитику по угрозам и сценариям атак.

В системе реализован ИИ-ассистент, помогающий автоматизировать обработку событий и анализ инцидентов. По данным разработчиков, использование искусственного интеллекта позволяет сократить до 90% трудозатрат на детектирование и реагирование.

Для поддержки клиентов предусмотрено три уровня технической поддержки, охватывающие все этапы работы с системой — от внедрения до настройки кастомных сценариев мониторинга и реагирования.

По данным аналитиков, рынок решений для анализа и реагирования на инциденты ИБ активно растёт. В 2024 году этот сегмент оценивался в 36,1 млрд рублей, а доля SIEM-решений — в 9,4 млрд, с прогнозом роста до 14,1 млрд рублей к 2027 году. Развитию сегмента способствует и рынок сервисов MSSP, который может увеличиться с 26,1 млрд до 54,1 млрд рублей к 2028 году.

Отсутствие систем SIEM и SOAR в инфраструктуре, по данным компании, повышает риск длительных и «малошумных» атак. Только в первом полугодии 2025 года число атак продолжительностью месяц и более выросло на 16%, чаще всего под удар попадают госструктуры, промышленность, ИТ и медицина.

Solar SIEM объединяет функции обеих технологий на одной платформе, позволяя командам SOC видеть полную картину происходящего и быстрее реагировать на киберинциденты.

В «Соларе» также сообщили, что Solar JSOC в перспективе планирует перейти на собственный SIEM — этот процесс запланирован на середину 2026 года.