Взломанное ПО - ловушка: киберпреступники расставили сети на 1300 сайтах | Подсвинок.хрю
Аналитики F.A.C.C.T. обнаружили масштабную кампанию по распространению вредоносного ПО.

В марте 2024 года аналитики Центра кибербезопасности F.A.C.C.T. выявили масштабную кампанию по распространению вредоносного программного обеспечения (ВПО) под видом взломанных программ. Инцидент произошел в одной из российских компаний, когда сотрудник скачал вредоносный файл, который был идентифицирован как Vidar — шпионское ПО, собирающее данные с компьютера жертвы. Собранные пользовательские данные могут использоваться для угона аккаунтов в мессенджерах, например, Telegram, хищения денежных средств с банковских карт и криптокошельков. Помимо кражи данных, Vidar может применяться в качестве загрузки других модулей вредоносного ПО.

Аналитики установили, что вредоносный архив был загружен с файлообменника MediaFire, а перед этим пользователь посещал ресурс, на котором предлагались для скачивания популярные утилиты, офисные приложения — как их взломанные версии, так и отдельно активаторы к ним — ПО, предназначенное для обхода встроенных систем защиты программ от неавторизованного использования.

Исследование зараженного сайта показало, что в кампании участвовало более 1300 уникальных доменов. Доменные имена часто объединялись схожими ключевыми словами, такими как crack, software, key, soft. Часть найденных доменов была недоступна, но продолжала иметь связи с активными ресурсами, что подтверждало их участие в распространении вредоносного ПО.

Аналитиков поразило не только количество ресурсов, но и методы продвижения сайтов: злоумышленники создали целую сеть поддельных аккаунтов в соцсетях, активно размещая рекламные посты на видеохостингах и образовательных платформах. В LinkedIn было обнаружено более 300 уникальных аккаунтов, рекламирующих сайты со взломанным ПО.

Ресурсы-приманки были созданы с использованием типовых шаблонов, чаще всего на WordPress. Это объясняется лёгкостью и доступностью этой платформы для создания контента. Примечательно также, что чаще всего на сайте встречаются авторы с ником admin. В начале веб-страницы содержится краткое описание предлагаемого ПО, например различных пакетов Microsoft Office, решений компании Adobe, AutoCad, Nanocad, программ активации офисных приложений и операционных систем KMS. Также присутствует навигация по сайту с поиском, последними публикациями, выбором категорий и ссылками на социальные сети, такие как Facebook*, Twitter**, LinkedIn, Pinterest.

Злоумышленники старались убедить пользователей в безопасности предлагаемого ПО. Например, в описаниях утверждалось, что программы не наносят вреда системным файлам. В конце статей размещались ссылки для скачивания вредоносного ПО, иногда с альтернативной ссылкой на официальный сайт ПО.

Во всех случаях вредоносное ПО распространялось в виде запароленных архивов. Структура архивов включала один исполняемый файл и другие необходимые файлы. Большинство вредоносных экземпляров принадлежали семейству Amadey, которое собирает данные и загружает дополнительные модули. Также встречались стилеры, такие как Vidar, RedLine Stealer, CryptBot и Ramnit.

Особенно интересен тот факт, что злоумышленники нашли новую категорию потенциальных жертв — пользователей, столкнувшихся с проблемой использования легального ПО из-за санкций и ограничений. В текущей геополитической обстановке, когда многие вендоры ушли из России, пользователи стали искать обходные пути для использования нужных программ. Как показал инцидент, предложения установить взломанное ПО могут содержать вредоносную нагрузку, что приводит к компрометации данных пользователя и всей инфраструктуры организации.
Последние комментарии
abrams aliexpress amazon android apple blizzard call of duty capcom chatgpt chrome civilization cnews.ru darknet dayz ddos diablo diablo 4 discord diskord dlc escape from tarkov ets evil dead evil dead: the game facebook fall guys farming simulator fifa flash forest github god of war google google play gran turismo gta hbo https://rs.rottenswamp.ru/submit/ hydra it ixbt.games konami last of us lenta.ru localbitcoins meta microsoft modern warfare nintendo pinkypon playground.ru playstation playstation4 postal ps plus psn psplus resident evil resident evil 4 rockstar securitylab.ru silent hill silent hill 2 snowrunner sons of the forest sony stalker steam telegram the day before tht forest tor twitter vc.ru vk vpn warcraft 3 whatsapp wi-fi windows wot xakep.ru xbox xcom yotube youtbe youtube авто автоваз америка байден балабол банкомат бд без комментариев беларусь бесит билд биржа биткоин блогер блогеры блокировка ботнет браузер брюс кэмпбелл вепрь видеоигра видеоигры видеоигы видеооигры военкомат война гайд геймер геймеры геймпад германия гомофобия госдума государство госуслуги грустно даркнет двач дисковод дичь дошик доширак еда железо закон запрет игра игровые консоли игромания игрушки игры игры роскомнадзор изобретение ии импортозамещение интеренет интересное интернет иран карма картинка кибербезопасность киберпреступность киберспорт кино китай кндр компьютерные игры конопля консоли контент кража криминал кринж крипта криптобиржа криптовалюта криптовирус крысы лаборатория касперского лдпр маразм мвд мем мессенджер месяц минцифры мобилизация мод молоко москвич мочилово мошенники навоз налог нейросети нейросеть нефть нямка остой отстой охлобыстин павел дуров память пароль паспорт пасхалка пеке пиратство пк плотник по подписка покупка политика полиция попы почта приговор программа прошивка психи путин работа распил расследование рбк реклама рекорд ремонт робот роскомнадзор россия россия. google росссия рунет сайт санкции санции сбербанк сбой сербия сериал сериалы сеть сим карта сим-карта слежка слухи смартфон смешно смешное сми сосноли спецслужбы сталкер стим стратегии суд суши сша такси танк танки танчики технология топ топчик трава треш уйло украина утечка фбр ферма фишинг флеш фнс франция фсб хакеры хоррор хрючево царь цензура цены церковь цру чай чарт шизоид штаны экзамен эфириум эш уильямс юрец яндекс 2023
Чат дискорд Бегущий петух