0 Плохо1
1 1 1 1 1 1 1 1 1 1 Рейтинг 2.00 [1 Голос]

Рейтинг:  0 / 5

Звезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активна
 

 

e92718a10f675b1e6909b942dd8680d54_f5ba0.jpg

 

Аналитики F.A.C.C.T. обнаружили масштабную кампанию по распространению вредоносного ПО.

 В марте 2024 года аналитики Центра кибербезопасности F.A.C.C.T. выявили масштабную кампанию по распространению вредоносного программного обеспечения (ВПО) под видом взломанных программ. Инцидент произошел в одной из российских компаний, когда сотрудник скачал вредоносный файл, который был идентифицирован как Vidar — шпионское ПО, собирающее данные с компьютера жертвы.   Собранные пользовательские данные могут использоваться для угона аккаунтов в мессенджерах, например, Telegram, хищения денежных средств с банковских карт и криптокошельков. Помимо кражи данных, Vidar может применяться в качестве загрузки других модулей вредоносного ПО.

 Аналитики установили, что вредоносный архив был загружен с файлообменника MediaFire, а перед этим пользователь посещал ресурс, на котором предлагались для скачивания популярные утилиты, офисные приложения — как их взломанные версии, так и отдельно активаторы к ним — ПО, предназначенное для обхода встроенных систем защиты программ от неавторизованного использования.

 Исследование зараженного сайта показало, что в кампании участвовало более 1300 уникальных доменов. Доменные имена часто объединялись схожими ключевыми словами, такими как crack, software, key, soft. Часть найденных доменов была недоступна, но продолжала иметь связи с активными ресурсами, что подтверждало их участие в распространении вредоносного ПО.

 Аналитиков поразило не только количество ресурсов, но и методы продвижения сайтов: злоумышленники создали целую сеть поддельных аккаунтов в соцсетях, активно размещая рекламные посты на видеохостингах и образовательных платформах. В LinkedIn было обнаружено более 300 уникальных аккаунтов, рекламирующих сайты со взломанным ПО.

 Ресурсы-приманки были созданы с использованием типовых шаблонов, чаще всего на WordPress. Это объясняется лёгкостью и доступностью этой платформы для создания контента. Примечательно также, что чаще всего на сайте встречаются авторы с ником admin. В начале веб-страницы содержится краткое описание предлагаемого ПО, например различных пакетов Microsoft Office, решений компании Adobe, AutoCad, Nanocad, программ активации офисных приложений и операционных систем KMS. Также присутствует навигация по сайту с поиском, последними публикациями, выбором категорий и ссылками на социальные сети, такие как Facebook*, Twitter**, LinkedIn, Pinterest.

 Злоумышленники старались убедить пользователей в безопасности предлагаемого ПО. Например, в описаниях утверждалось, что программы не наносят вреда системным файлам. В конце статей размещались ссылки для скачивания вредоносного ПО, иногда с альтернативной ссылкой на официальный сайт ПО.

 Во всех случаях вредоносное ПО распространялось в виде запароленных архивов. Структура архивов включала один исполняемый файл и другие необходимые файлы. Большинство вредоносных экземпляров принадлежали семейству Amadey, которое собирает данные и загружает дополнительные модули. Также встречались стилеры, такие как Vidar, RedLine Stealer, CryptBot и Ramnit.

 Особенно интересен тот факт, что злоумышленники нашли новую категорию потенциальных жертв — пользователей, столкнувшихся с проблемой использования легального ПО из-за санкций и ограничений. В текущей геополитической обстановке, когда многие вендоры ушли из России, пользователи стали искать обходные пути для использования нужных программ. Как показал инцидент, предложения установить взломанное ПО могут содержать вредоносную нагрузку, что приводит к компрометации данных пользователя и всей инфраструктуры организации.

Источник: https://www.securitylab.ru/news/549372.php

Для комментирования вы должны авторизоваться.

 
Последняя активность
  • Евгения Шинкарева
    Начать тему на форуме (Популярные модели горных снегоходов) / 2.00 баллы
  • Роман
    Новый пользователь ( Добро пожаловать!) / 10.00 баллы
  • роман
    Новый пользователь ( Добро пожаловать!) / 10.00 баллы
  • marussia
    За оценку статьи в ленте (лайк или дизлайк) / 1.00 баллы
  • marussia
    Добавление комментария(лента) / 1.00 баллы
  • marussia
    За оценку статьи в ленте (лайк или дизлайк) / 1.00 баллы
  • marussia
    За оценку статьи в ленте (лайк или дизлайк) / 1.00 баллы
  • marussia
    Ответить в теме на форуме (Картинка трэд) / 1.00 баллы
  • marussia
    Начать тему на форуме (Картинка трэд) / 2.00 баллы
  • marussia
    За оценку статьи в ленте (лайк или дизлайк) / 1.00 баллы