YouTube 惊现 DCRat 恶意软件，登录凭据或面临盗取危机

网络安全研究人员发现了新一波攻击——Dark Crystal RAT（DCRat）。这是一种危险的远程访问木马，它通过恶意软件即服务（MaaS）模型重新出现。

攻击者主要瞄准游戏玩家，通过 YouTube 传播伪装成游戏作弊和破解程序的恶意软件。

恶意软件传播利用 YouTube 平台

DCRat 背后的攻击者将 YouTube 当作主要分发渠道，他们创建虚假或劫持的账户，上传宣传所谓游戏作弊、破解、机器人及类似软件的视频。每个视频描述都包含一个下载链接，引导用户访问托管受密码保护档案的合法文件共享服务，密码也在同一描述中提供，使整个过程看似可信。

YouTube 视频广告，宣传欺骗和破解

但这些档案并非提供所承诺的游戏工具，而是包含隐藏在各种垃圾文件和文件夹中的 DCRat 恶意软件，这些垃圾文件和文件夹旨在分散受害者的注意力。

DCRat，即 Dark Crystal RAT，于 2018 年首次出现，如今已演变成一种复杂的威胁。该恶意软件作为后门运行，让攻击者能远程访问受感染设备。此外，DCRat 支持模块化插件，极大地增强了其功能。研究人员已发现与该恶意软件家族相关的 34 个不同插件，涵盖按键记录、网络摄像头监视、文件盗窃和密码泄露等危险功能。

攻击者网站上的 DCRat 构建器插件

利用动漫主题域名

在基础设施方面，为托管命令和控制（C2）服务器，网络犯罪分子注册了许多二级域名（主要在俄罗斯的 “.ru” 域名区域内），并创建多个三级域名用于操作。仅自 2025 年初以来，攻击者就注册了至少 57 个新的二级域名。有趣的是，这些域名常包含受动漫启发的俚语，如 “nyashka”“nyashkoon” 和 “nyashtyan”，容易引起日本流行文化爱好者的共鸣。

采用特征命名方法的 C2 服务器地址

遥测数据显示，俄罗斯是此次活动的主要目标，约 80% 的感染发生在那里。其他受影响地区包括白俄罗斯、哈萨克斯坦和中国。卡巴斯基安全解决方案将该恶意软件检测为 “Backdoor.MSIL.DCRat”。

专家强烈建议用户只从可信来源下载游戏相关软件，避免因非官方渠道分发的受密码保护档案带来感染风险。