Надійна інфраструктура, що включає понад 250 доменів, використовуваних для розповсюдження зловмисного програмного забезпечення для крадіжки інформації, наприклад Raccoon і Vidar, з початку 2020 року.
Ланцюжок зараження використовує близько сотні веб-сайтів із підробленим каталогом зламаного програмного забезпечення, які перенаправляються за кількома посиланнями перед завантаженням корисного навантаження, розміщеного на платформах спільного використання файлів, таких як GitHub. Це призвело до поширення програмного забезпечення для крадіжки інформації, наприклад raccoon і vidar.
Французька компанія з кібербезпеки отримує доступ до доменів, якими керує зловмисник, який використовує систему спрямування трафіку (TDS), яка дозволяє іншим кіберзлочинцям орендувати сервіс для розповсюдження свого шкідливого програмного забезпечення.
Атаки націлені на те, що користувачі шукають зламані версії програмного забезпечення та ігор у таких пошукових системах, як Google, і відкривають шахрайські веб-сайти, використовуючи техніку під назвою пошукова оптимізація, яка отруює, щоб спонукати жертв завантажувати та виконувати зловмисне корисне навантаження.
Отруєний результат містить посилання для завантаження обіцяного програмного забезпечення, яке після натискання призвело до запуску п’ятиетапної послідовності переспрямування URL-адреси, щоб перевести користувача на веб-сторінку, де відображається скорочене посилання, яке вказує на захищений паролем архівний файл RAR, який розміщений на GitHub разом із своїм паролем.
Використання кількох перенаправлень призвело до ускладнення автоматизованого аналізу рішеннями безпеки. Вирізання інфраструктури як такої майже напевно розроблено для забезпечення стійкості та полегшення та прискорення оновлення чи зміни кроку.
Жертва розпакує архів RAR і запустить передбачуваний виконуваний файл інсталяції, який міститься в ньому, а також одну з двох сімейств зловмисного програмного забезпечення, включаючи Raccoon або Vidar, встановлених у системі.
Розробка, яка з’явилася, коли Cyble детально описує шахрайську кампанію Google Ads, яка використовує широко використовуване програмне забезпечення, таке як AnyDesk, Bluestacks, Notepad++ і Zoom, як приманку для створення багатофункціонального викрадача, відомого як Rhadamanthys Stealer.
Спостерігається альтернативний варіант ланцюжка атак, який використовує фішингові електронні листи, які маскуються під банківські виписки, щоб змусити мимовільних користувачів натиснути шахрайські посилання.
Сфабриковані веб-сайти, які імітують популярне рішення для віддаленого робочого столу, також використовувалися в минулому для поширення викрадача інформації на основі Python під назвою Mitsu Stealer.
Обидва зловмисних програми здатні перекачувати широкий спектр особистої інформації зі зламаних машин, збирати облікові дані з веб-браузерів і викрадати дані з різних гаманців криптовалюти.
Користувачам рекомендується уникати завантаження піратського програмного забезпечення та застосовувати багатофакторну автентифікацію, де це можливо, щоб захистити облікові записи.
Користувачам важливо бути обережними, отримуючи спам або відвідуючи фішингові веб-сайти, а також перевіряти джерело перед завантаженням програм.
Українська 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
فارسی 
Français du Canada