Тысячи доменов распространяют малварь под видом взломанного софта - «Новости» » Интернет технологии
sitename
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
 Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
 Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
 «Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
 Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
 Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
 В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
 Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
 Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
 Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Тысячи доменов распространяют малварь под видом взломанного софта - «Новости»

✔Тысячи доменов распространяют малварь под видом взломанного софта - «Новости»

23 июня 2024 536 Новости / Изображения / Самоучитель CSS / Преимущества стилей / Видео уроки / Сайтостроение / Текст / Ссылки / Блог для вебмастеров / Интернет и связь 0

Эксперты компании FACCT обнаружили масштабную кампанию по распространению малвари, замаскированной под взломанные программы. Сеть, состоящая более чем из 1300 доменов, предлагает пользователям малварь под видом популярных утилит и офисных приложений (вместе с ключами активации или кряками).


Все началось с вредоносного файла, загруженного на рабочее устройство сотрудника неназванной российской компании, инцидент в которой расследовали специалисты FACCT. Малварь в файле относилась к семейству Vidar — шпионскому ПО, собирающему информацию с компьютера жертвы, которое также может применяться для загрузки дополнительных модулей.


Как оказалось, вредоносный архив был скачан с файлообменника MediaFire, а перед этим пострадавший пользователь посещал ресурс, на котором предлагались для скачивания популярные утилиты и офисные приложения (как уже взломанные версии, так и отдельные активаторы).


Дальнейшее расследование выявило реальный масштаб этой кампании. С помощью системы графового анализа исследователи изучили сетевую инфраструктуру вредоносного сайта из упомянутого инцидента и обнаружили более 1316 уникальных доменов, распространяющих малварь.





Специалисты отмечают интересный способ продвижения таких сайтов. Злоумышленники создали целую сеть поддельных аккаунтов в различных социальных сетях, где массово размещали сообщения и посты рекламного характера (в том числе на площадках с видеоконтентом и образовательных порталах).


Например, только в LinkedIn было обнаружено более 300 уникальных аккаунтов, рекламирующих сайты со взломанным ПО.





Таким образом хакеры пытались масштабировать свою кампанию и мотивировать пользователей воспользоваться мнимыми преимуществом взломанного софта, который не нужно покупать.


Также целями злоумышленников были пользователи, столкнувшиеся с проблемами использования ПО из-за ограничений.


«В текущей геополитической обстановке, когда многие вендоры ушли из России, пользователям, системным администраторам в организациях становится трудно найти замену программного обеспечения, которое при этом не будет уступать по функциональности и удобству. Поэтому пользователи или администраторы различных организаций прибегают к поиску обходных путей. Часто они ищут в интернете способы активации или просто взломанное ПО, среди которого можно выделить антивирусы, программы для работы с фото и видео, офисные приложения, программы для проектирования и моделирования», — пишут эксперты.


Кроме общей инфраструктуры доменные имена этой сети часто объединяли комбинации схожих ключевых слов, включая crack, software, key, soft и так далее.


При этом на момент проведения анализа часть найденных доменов уже была недоступна (некоторые были просрочены или размещались на доменных парковках, но продолжали иметь инфраструктурную связь с другими активными ресурсами). Специалисты полагают, что неактивные домены тоже создавались для распространения малвари.


Ресурсы-приманки обычно построены на базе типовых шаблонов и реализованы с помощью WordPress с использованием бесплатных тем. Лишь на одном из таких сайтов был блог, созданный с помощью Blogger. Отмечается, что на некоторых сайтах было две кнопки с URL-адресами: одна ссылка вела на загрузку малвари из файлообменника (Mega, Dropbox или MediaFire), а вторая указывала на официальный сайт ПО.





Что касается самой малвари, большая часть образцов принадлежала к семейству Amadey, которое способно собирать данные со скомпрометированного компьютера и передавать своим операторам, а также по команде загружать дополнительные модули с другой вредоносной функциональностью. К примеру, ранее Amadey использовался для загрузки шифровальщика Lockbit, а в изученных экземплярах обычно загружался майнер Coinminer.


В других случаях вместо взломанного софта пользователи загружали инфостилеры, основная цель которых — кража данных со взломанной машины. Так, были обнаружены стилеры Vidar, RedLine Stealer, CryptBot и Ramnit с дополнительными функциями банковского трояна.



Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Эксперты компании FACCT обнаружили масштабную кампанию по распространению малвари, замаскированной под взломанные программы. Сеть, состоящая более чем из 1300 доменов, предлагает пользователям малварь под видом популярных утилит и офисных приложений (вместе с ключами активации или кряками). Все началось с вредоносного файла, загруженного на рабочее устройство сотрудника неназванной российской компании, инцидент в которой расследовали специалисты FACCT. Малварь в файле относилась к семейству Vidar — шпионскому ПО, собирающему информацию с компьютера жертвы, которое также может применяться для загрузки дополнительных модулей. Как оказалось, вредоносный архив был скачан с файлообменника MediaFire, а перед этим пострадавший пользователь посещал ресурс, на котором предлагались для скачивания популярные утилиты и офисные приложения (как уже взломанные версии, так и отдельные активаторы). Дальнейшее расследование выявило реальный масштаб этой кампании. С помощью системы графового анализа исследователи изучили сетевую инфраструктуру вредоносного сайта из упомянутого инцидента и обнаружили более 1316 уникальных доменов, распространяющих малварь. Специалисты отмечают интересный способ продвижения таких сайтов. Злоумышленники создали целую сеть поддельных аккаунтов в различных социальных сетях, где массово размещали сообщения и посты рекламного характера (в том числе на площадках с видеоконтентом и образовательных порталах). Например, только в LinkedIn было обнаружено более 300 уникальных аккаунтов, рекламирующих сайты со взломанным ПО. Таким образом хакеры пытались масштабировать свою кампанию и мотивировать пользователей воспользоваться мнимыми преимуществом взломанного софта, который не нужно покупать. Также целями злоумышленников были пользователи, столкнувшиеся с проблемами использования ПО из-за ограничений. «В текущей геополитической обстановке, когда многие вендоры ушли из России, пользователям, системным администраторам в организациях становится трудно найти замену программного обеспечения, которое при этом не будет уступать по функциональности и удобству. Поэтому пользователи или администраторы различных организаций прибегают к поиску обходных путей. Часто они ищут в интернете способы активации или просто взломанное ПО, среди которого можно выделить антивирусы, программы для работы с фото и видео, офисные приложения, программы для проектирования и моделирования», — пишут эксперты. Кроме общей инфраструктуры доменные имена этой сети часто объединяли комбинации схожих ключевых слов, включая crack, software, key, soft и так далее. При этом на момент проведения анализа часть найденных доменов уже была недоступна (некоторые были просрочены или размещались на доменных парковках, но продолжали иметь инфраструктурную связь с другими активными ресурсами). Специалисты полагают, что неактивные домены тоже создавались для распространения малвари. Ресурсы-приманки обычно построены на базе типовых шаблонов и реализованы с помощью WordPress с использованием бесплатных тем. Лишь на одном из таких сайтов был блог, созданный с помощью Blogger. Отмечается, что на некоторых сайтах было две кнопки с URL-адресами: одна ссылка вела на загрузку малвари из файлообменника (Mega, Dropbox или MediaFire), а вторая указывала на официальный сайт ПО. Что касается самой малвари, большая часть образцов принадлежала к семейству Amadey, которое способно собирать данные со скомпрометированного компьютера и передавать своим операторам, а также по команде загружать дополнительные модули с другой вредоносной функциональностью. К примеру, ранее Amadey использовался для загрузки шифровальщика Lockbit, а в изученных экземплярах обычно загружался майнер Coinminer. В других случаях вместо взломанного софта пользователи загружали инфостилеры, основная цель которых — кража данных со взломанной машины. Так, были обнаружены стилеры Vidar, RedLine Stealer, CryptBot и Ramnit с дополнительными функциями банковского трояна.
CSS
запостил(а)
Higgins
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: