Пиратские версии 3DMark используются для распространения инфостилера RedLine - «Новости»

  • 10:30, 26-авг-2022
  • Новости / Вёрстка / Добавления стилей / Преимущества стилей / Сайтостроение / Видео уроки / Самоучитель CSS / Текст / Изображения
  • MacAdam
  • 0

Специалисты компании Zscaler обнаружили несколько вредоносных кампаний, в рамках которых инфостилер RedLine распространяется под видом различного пиратского софта, включая 3DMark, Adobe Acrobat Pro, MAGIX Sound Force Pro и так далее.


Исследователи рассказывают, что для продвижения сайтов с опасными «пиратками» применяется техника отравления SEO (SEO poisoning) и вредоносная реклама, что позволяет злоумышленникам занимать высокие позиции в результатах поиска Google.



Пиратские версии 3DMark используются для распространения инфостилера RedLine - «Новости»


Пользователей заманивают на такие сайты, предлагая бесплатные пиратские версии Adobe Acrobat Pro, 3DMark, 3DVista Virtual Tour Pro, 7-Data Recovery Suite, MAGIX Sound Force Pro, Wondershare Dr. Fone, а также различные кряки и генераторы ключей.


При этом вредоносные исполняемые файлы, маскирующиеся под обещанные установщики ПО, зачатую размещаются на сторонних файловых хостингах, поэтому целевые страницы лишь перенаправляют жертв в другие места для загрузки файлов.





Загруженные файлы обычно представляют собой архивы, содержащие защищенный паролем файл ZIP размером 1,3 МБ (чтобы избежать внимания антивирусного ПО), а также файл TXT с паролем. При распаковке такой файл искусственно разувается до 600 Мб с помощью заполнения ненужными байтами.





Итоговый исполняемый файл представляет собой загрузчик малвари, который порождает закодированную команду PowerShell, а тем запускает командную строку Windows (cmd.exe) и после 10-секундного тайм-аута. Процесс cmd.exe, в свою очередь, загружает фальшивый файл JPG, который на самом деле представляет собой файл DLL, содержимое которого расположено в обратном порядке.





Загрузчик переупорядочивает содержимое файла, извлекая DLL и пейлоад инфостилера  RedLine.


Redline Stealer — это весьма мощная малварь, предназначенная для кражи информации. Она способна извлекать учетные данные из браузеров, клиентов FTP, электронной почты, мессенджеров и VPN. Кроме того, вредонос может воровать аутентификационные файлы cookie и номера карт, хранящиеся в браузерах, логи чатов, локальные файлы и БД криптовалютных кошельков. В настоящее время RedLine Stealer активно продается в даркнете, и подписка на месяц стоит примерно 100 долларов США.


Аналитики Zscaler отмечают, что в некоторых случаях злоумышленники использовали для кражи данных другого вредоноса  — RecordBreaker. Малварь была упакована с помощью Themida для обфускации и предотвращения обнаружения. RecordBreaker ворует ничуть не меньше данных, чем Redline Stealer, поэтому для жертв не имеет большого значения, какая именно полезная нагрузка использовалась хакерами.


Специалисты компании Zscaler обнаружили несколько вредоносных кампаний, в рамках которых инфостилер RedLine распространяется под видом различного пиратского софта, включая 3DMark, Adobe Acrobat Pro, MAGIX Sound Force Pro и так далее. Исследователи рассказывают, что для продвижения сайтов с опасными «пиратками» применяется техника отравления SEO (SEO poisoning) и вредоносная реклама, что позволяет злоумышленникам занимать высокие позиции в результатах поиска Google. Пользователей заманивают на такие сайты, предлагая бесплатные пиратские версии Adobe Acrobat Pro, 3DMark, 3DVista Virtual Tour Pro, 7-Data Recovery Suite, MAGIX Sound Force Pro, Wondershare Dr. Fone, а также различные кряки и генераторы ключей. При этом вредоносные исполняемые файлы, маскирующиеся под обещанные установщики ПО, зачатую размещаются на сторонних файловых хостингах, поэтому целевые страницы лишь перенаправляют жертв в другие места для загрузки файлов. Загруженные файлы обычно представляют собой архивы, содержащие защищенный паролем файл ZIP размером 1,3 МБ (чтобы избежать внимания антивирусного ПО), а также файл TXT с паролем. При распаковке такой файл искусственно разувается до 600 Мб с помощью заполнения ненужными байтами. Итоговый исполняемый файл представляет собой загрузчик малвари, который порождает закодированную команду PowerShell, а тем запускает командную строку Windows (cmd.exe) и после 10-секундного тайм-аута. Процесс cmd.exe, в свою очередь, загружает фальшивый файл JPG, который на самом деле представляет собой файл DLL, содержимое которого расположено в обратном порядке. Загрузчик переупорядочивает содержимое файла, извлекая DLL и пейлоад инфостилера RedLine. Redline Stealer — это весьма мощная малварь, предназначенная для кражи информации. Она способна извлекать учетные данные из браузеров, клиентов FTP, электронной почты, мессенджеров и VPN. Кроме того, вредонос может воровать аутентификационные файлы cookie и номера карт, хранящиеся в браузерах, логи чатов, локальные файлы и БД криптовалютных кошельков. В настоящее время RedLine Stealer активно продается в даркнете, и подписка на месяц стоит примерно 100 долларов США. Аналитики Zscaler отмечают, что в некоторых случаях злоумышленники использовали для кражи данных другого вредоноса — RecordBreaker. Малварь была упакована с помощью Themida для обфускации и предотвращения обнаружения. RecordBreaker ворует ничуть не меньше данных, чем Redline Stealer, поэтому для жертв не имеет большого значения, какая именно полезная нагрузка использовалась хакерами.

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!