Отказоустойчивая инфраструктура, включающая более 250 доменов, используемых для распространения вредоносных программ для кражи информации, таких как Raccoon и Vidar, с начала 2020 года.
В цепочке заражения используется около сотни поддельных веб-сайтов каталогов взломанного программного обеспечения, которые перенаправляются по нескольким ссылкам перед загрузкой полезной нагрузки, размещенной на платформах обмена файлами, таких как GitHub. Это привело к распространению программного обеспечения для кражи информации, такого как raccoon и vidar.
Французская компания по кибербезопасности получает доступ к доменам, которыми управляет злоумышленник, использующий систему управления трафиком (TDS), которая позволяет другим киберпреступникам арендовать службу для распространения своего вредоносного ПО.
Атаки нацелены на пользователей, которые ищут взломанные версии программного обеспечения и игр в поисковых системах, таких как Google, и выходят на мошеннические веб-сайты с помощью метода, называемого поисковой оптимизацией, который отравляет жертв, заставляя их загружать и запускать вредоносные полезные нагрузки.
Отравленный результат содержит ссылку для скачивания обещанного программного обеспечения, которая при нажатии приводит к срабатыванию пятиэтапной последовательности перенаправления URL-адресов, чтобы перенаправить пользователя на веб-страницу, отображающую сокращенную ссылку, которая указывает на защищенный паролем архивный файл RAR, который размещенный на GitHub вместе с паролем.
Использование нескольких перенаправлений приводило к усложнению автоматизированного анализа защитными решениями. Выделение инфраструктуры как таковой почти наверняка предназначено для обеспечения отказоустойчивости и упрощения и ускорения обновления или изменения шага.
Жертва распакует архив RAR и запустит предполагаемый исполняемый файл установки, который содержится в нем, и одно из двух семейств вредоносных программ, включая Raccoon или Vidar, которые установлены в системе.
В разработке, представленной Cyble, подробно описана мошенническая кампания Google Ads, в которой широко используемое программное обеспечение, такое как AnyDesk, Bluestacks, Notepad ++ и Zoom, используется в качестве приманки для создания многофункционального похитителя, известного как Rhadamanthys Stealer.
Наблюдается альтернативный вариант цепочки атак, использующий фишинговые электронные письма, маскирующиеся под банковские выписки, чтобы обманом заставить невольных пользователей переходить по мошенническим ссылкам.
Сфабрикованные веб-сайты, имитирующие популярное решение для удаленного рабочего стола, также использовались в прошлом для распространения похитителя информации на основе Python, получившего название Mitsu Stealer.
Обе вредоносные программы способны перекачивать широкий спектр личной информации со взломанных компьютеров и собирать учетные данные из веб-браузеров, а также красть данные из различных криптовалютных кошельков.
Пользователям рекомендуется избегать загрузки пиратского программного обеспечения и по возможности применять многофакторную аутентификацию для защиты учетных записей.
Пользователям важно проявлять осторожность при получении спам-сообщений или посещении фишинговых веб-сайтов и проверять источник перед загрузкой любых приложений.
Русский 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada