یک زیرساخت انعطافپذیر شامل بیش از 250 دامنه که از اوایل سال 2020 برای توزیع بدافزارهای سرقت اطلاعات مانند Raccoon و Vidar استفاده میشود.
زنجیره عفونت از حدود صد وبسایت کاتالوگ نرمافزاری جعلی کرک شده استفاده میکند که قبل از دانلود محموله میزبانی شده در پلتفرمهای اشتراکگذاری فایل مانند GitHub به چندین لینک هدایت میشوند. این منجر به توزیع نرمافزار سرقت اطلاعات مانند راکون و ویدار شد.
شرکت امنیت سایبری فرانسوی به دامنههایی دسترسی پیدا میکند که توسط یک عامل تهدید که سیستم هدایت ترافیک (TDS) را اجرا میکند و به دیگر مجرمان سایبری اجازه میدهد این سرویس را برای توزیع بدافزار خود اجاره کنند.
این حملات کاربران را هدف قرار می دهد که نسخه های کرک شده نرم افزارها و بازی ها را در موتورهای جستجو مانند گوگل جستجو می کنند و با استفاده از تکنیکی به نام بهینه سازی موتور جستجو که برای فریب قربانیان برای دانلود و اجرای محموله های مخرب مسموم می شود، وب سایت های جعلی را در بالای صفحه قرار می دهند.
نتیجه مسموم با یک لینک دانلود به نرم افزار وعده داده شده می آید که با کلیک کردن منجر به راه اندازی یک دنباله تغییر مسیر URL پنج مرحله ای می شود تا کاربر را به یک صفحه وب هدایت کند که یک پیوند کوتاه شده را نشان می دهد که به یک فایل آرشیو RAR محافظت شده با رمز عبور اشاره می کند. به همراه رمز عبور آن در گیت هاب میزبانی می شود.
استفاده از چندین تغییر مسیر منجر به پیچیدگی تجزیه و تحلیل خودکار توسط راه حل های امنیتی شد. کنده کاری زیرساخت به این صورت تقریباً برای اطمینان از انعطاف پذیری و آسان تر و سریع تر به روز رسانی یا تغییر یک مرحله طراحی شده است.
قربانی بایگانی RAR را از حالت فشرده خارج می کند و فایل اجرایی نصب ادعا شده را که در داخل آن قرار دارد و یکی از دو خانواده بدافزار شامل Raccoon یا Vidar که روی سیستم نصب شده است را اجرا می کند.
توسعهای که Cyble در مورد کمپین تبلیغاتی گوگل توضیح داد که از نرمافزارهای پرکاربردی مانند AnyDesk، Bluestacks، Notepad++ و Zoom بهعنوان فریبندهای برای ارائه یک دزد دارای ویژگیهای معروف به نام Rhadamanthys Stealer استفاده میکند.
یک نوع جایگزین از زنجیره حمله مشاهده شده است که از ایمیلهای فیشینگ که به صورت صورتحساب بانکی ظاهر میشوند برای فریب دادن کاربران ناآگاه به کلیک کردن روی پیوندهای جعلی استفاده میکند.
وبسایتهای ساختگی جعل راهحل محبوب دسکتاپ از راه دور نیز در گذشته برای انتشار یک دزد اطلاعات مبتنی بر پایتون به نام Mitsu Stealer مورد استفاده قرار گرفتهاند.
هر دوی این بدافزارها برای جمعآوری طیف گستردهای از اطلاعات شخصی از ماشینهای در معرض خطر و جمعآوری اعتبار از مرورگرهای وب و سرقت دادهها از کیف پولهای مختلف ارزهای دیجیتال مجهز هستند.
به کاربران توصیه میشود از دانلود نرمافزارهای غیرقانونی خودداری کنند و تا جایی که ممکن است برای سختتر کردن حسابها، احراز هویت چند عاملی را اجرا کنند.
برای کاربران مهم است که هنگام دریافت ایمیلهای هرزنامه یا بازدید از وبسایتهای فیشینگ احتیاط کنند و قبل از دانلود هر برنامهای، منبع را تأیید کنند.