PrivateLoader троянски кон

До Mezo през Trojan Downloaderг

Превод на:

Неизвестни киберпрестъпници предлагат мощен щам за зареждане на други хакерски екипи в схема с плащане на инсталация. Това означава, че създателите на заплахата получават плащания от своите клиенти въз основа на броя на жертвите и успешно пробитите устройства. Заплахата се проследява като PrivateLoader и се използва в операции за атака поне от май 2021 г.

Щамовете на зловреден софтуер за зареждане обикновено се използват в ранните етапи на атаките и действат като система за доставка за по-заплашителни повредени полезни товари от следващия етап. Когато става въпрос конкретно за PrivateLoader, се наблюдава извличане и внедряване на варианти на Smokeloader , Redline и Vidar .

Smokeloader притежава подобна функционалност на зареждане, но също така може да извършва кражба на данни и разузнавателни дейности. Vidar е класифициран като шпионски софтуер и е в състояние да извлича различни данни, като пароли, чувствителни документи и данни за цифров портфейл. Що се отнася до Redline, това е заплаха, която е насочена към събиране на идентификационни данни на жертвите.

Разпространение и подробности

Според доклад, публикуван от изследователите в Intel 471, PrivateLoader се разпространява предимно чрез компрометирани сайтове за изтегляне и кракнати софтуерни продукти. Тези оръжейни версии на популярни софтуерни приложения могат да бъдат обединени заедно с предполагаеми генератори на ключове, програми, които позволяват на потребителите да отключат незаконно пълната функционалност на конкретни приложения, без да плащат за сертификат или абонамент.

Първоначалният вектор на включването може да включва JavaScript, задействан при щракване върху бутоните за изтегляне на нарушените уебсайтове. В резултат на това компрометиран .ZIP архив ще бъде премахнат в системата на потребителя. Той ще съдържа изпълним файл, който при стартиране ще задейства няколко заплахи от злонамерен софтуер, включително PrivateLoader.

Управлението на заплахата се осъществява чрез администраторски панел, създаден с AdminLTE 3. Нападателите могат да избират полезния товар, доставен чрез зареждането, целевите местоположения и държави, връзките за изтегляне на заплашителния полезен товар, използваното криптиране за комуникация с командата- and-Control (C2, C&C) сървъри и други.