PrivateLoader Trojan

Neznámí kyberzločinci nabízeli ostatním hackerským skupinám výkonné zatížení nakladače ve schématu platby za instalaci. To znamená, že tvůrci hrozby dostávají platby od svých zákazníků na základě počtu obětí a úspěšně prolomených zařízení. Hrozba je sledována jako PrivateLoader a minimálně od května 2021 se používá v útočných operacích.

Kmeny zavaděče malwaru se obvykle používají v raných fázích útoků a fungují jako doručovací systém pro hrozivější poškozené datové soubory v další fázi. Pokud jde konkrétně o PrivateLoader, bylo pozorováno, že načítá a nasazuje varianty Smokeloader , Redline a Vidar .

Smokeloader má podobnou funkci nakladače, ale také může provádět krádeže dat a průzkumné činnosti. Vidar je klasifikován jako spyware a je schopen extrahovat různá data, jako jsou hesla, citlivé dokumenty a detaily digitální peněženky. Pokud jde o Redline, jedná se o hrozbu, která se zaměřuje na shromažďování přihlašovacích údajů obětí.

Distribuce a podrobnosti

Podle zprávy zveřejněné výzkumníky na Intel 471 je PrivateLoader většinou distribuován prostřednictvím kompromitovaných stahovacích stránek a cracknutých softwarových produktů. Tyto ozbrojené verze populárních softwarových aplikací mohou být spojeny s údajnými generátory klíčů, programy, které uživatelům umožňují nelegálně odemknout plnou funkčnost konkrétních aplikací, aniž by museli platit za certifikát nebo předplatné.

Počáteční vektor skládání by mohl zahrnovat JavaScript spuštěný po kliknutí na tlačítka stahování na narušených webových stránkách. V důsledku toho bude kompromitovaný archiv .ZIP zahozen do systému uživatele. Bude obsahovat spustitelný soubor, který po spuštění spustí několik malwarových hrozeb, včetně PrivateLoader.

Správa hrozby se provádí pomocí administrátorského panelu vytvořeného pomocí AdminLTE 3. Útočníci si mohou vybrat užitečné zatížení doručené pomocí zavaděče, cílové lokality a země, odkazy ke stažení ohrožujícího obsahu, použité šifrování pro komunikaci s Command- and-Control (C2, C&C) servery a další.