Троян DcRAT использует фейковый контент OnlyFans для распространения

Екатерина Быстрова 20 Июня 2023 - 10:58

...

Троян DcRAT использует фейковый контент OnlyFans для распространения

В новой кампании киберпреступников используется фейковый контент OnlyFans и приманки, рассчитанные на взрослых. На деле же пользователи получают в систему троян DcRAT, открывающий удалённый доступ к компьютеру.

DcRAT может красть и передавать операторам данные с устройства жертв. Но даже более опасная его фича заключается в возможности устанавливать дополнительную программу-вымогатель.

На кампанию обратили внимание специалисты eSentire. По их словам, злоумышленники действуют в таком ключе с января 2023 года. Атакующие рассылают ZIP-архивы, в которых содержится загрузчик в формате VBScript.

Задача — обманом заставить жертву запустить лоадер. Для этого пользователю обещают доступ к платному контенту OnlyFans. Пока неясно, как именно распространяется вредонос, но специалисты полагают, что ссылки на него могут постить на форумах или присылать в мессенджерах. Злоумышленники также могут использовать «чёрную SEO-оптимизацию», чтобы продвинуть злонамеренные сайты на первые позиции поисковой выдачи.

Один из семплов, который приводят исследователи из Eclypsium, замаскирован под фотографии, на которых в обнажённом виде изображена американская порноактриса Миа Халифа.

VBScript-лоадер является минимальной модифицированной и обфусцированной версией скрипта, который засветился в кампании 2021 года. Тогда на него указала команда Splunk. В сущности, это слегка изменённый скрипт печати Windows.

При запуске вредонос проверяет архитектуру операционной системы с помощью WMI. После этого извлекается встроенная DLL (dynwrapx.dll) и регистрируется через команду Regsvr32.exe. Такой подход открывает зловреду доступ к инструменту DynamicWrapperX, позволяющему осуществлять функции вызовов из API Windows или других DLL-файлов.

Пейоад с именем BinaryData загружается в память и внедряется в процесс RegAsm.exe, легитимную часть .NET Framework. В этом случае шанс на детектирование вредоноса антивирусами резко падает.

Конечный троян DcRAT представляет собой модифицированную версию AsyncRAT, доступного любому желающему на GitHub.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 01 Июня 2026 - 10:47

Android Домашние пользователи

WhatsApp вернул на Android полезную фишку с фото контактов

WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) наконец-то возвращает в Android-версию функцию, которую сам же когда-то и убрал: теперь мессенджер сможет показывать фото из адресной книги, если у контакта нет аватарки в WhatsApp.

Функция, по данным WABetaInfo, уже начала появляться у части пользователей WhatsApp beta для Android 2.26.21.9. Ранее аналогичную возможность заметили в бета-версии WhatsApp для iOS.

Работает всё просто: если человек не установил фото профиля в WhatsApp или скрыл его настройками приватности, приложение подставит изображение, сохранённое у вас в телефонной книге. Фото будет отображаться в списке чатов и внутри переписки без дополнительных настроек и танцев с меню.

Главное: это не меняет реальную аватарку контакта в WhatsApp. Снимок берётся только из вашей адресной книги и виден только на вашем устройстве. Другие участники чата его не увидят, а сам контакт не узнает, какую картинку вы для него сохранили. Так что если у вас кто-то занесён с мемной фоткой, это останется вашей маленькой локальной тайной.

Интересно, что раньше WhatsApp уже умел подтягивать фотографии из адресной книги, но затем функция пропала по неизвестным причинам.

Пока нововведение доступно только некоторым бета-тестерам Android через Google Play. WhatsApp постепенно расширяет запуск в ближайшие недели, но точных сроков появления функции в стабильной версии пока нет.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!