PrivateLoader Trojan

Ukendte cyberkriminelle har tilbudt en kraftig loader-belastning til andre hacker-outfits i en betal-per-installation-ordning. Dette betyder, at skaberne af truslen modtager betalinger fra deres kunder baseret på antallet af ofre og succesfulde overtrådte enheder. Truslen spores som PrivateLoader og har været brugt i angrebsoperationer siden mindst maj 2021.

Loader-malware-stammer bruges typisk i de tidlige stadier af angrebene og fungerer som et leveringssystem for mere truende næste trins korrupte nyttelast. Når det kommer til PrivateLoader specifikt, er det blevet observeret at hente og implementere Smokeloader , Redline og Vidar varianter.

Smokeloader har lignende loader-funktionalitet, men den kan også udføre datatyveri og rekognosceringsaktiviteter. Vidar er klassificeret som spyware og er i stand til at udtrække forskellige data, såsom adgangskoder, følsomme dokumenter og digitale tegnebogsdetaljer. Hvad angår Redline, er det en trussel, som er fokuseret på at indsamle ofrenes legitimationsoplysninger.

Distribution og detaljer

Ifølge en rapport offentliggjort af forskerne hos Intel 471 distribueres PrivateLoader for det meste gennem kompromitterede downloadsider og crackede softwareprodukter. Disse bevæbnede versioner af populære softwareapplikationer kan være bundtet sammen med formodede nøglegeneratorer, programmer, der giver brugere mulighed for ulovligt at låse op for den fulde funktionalitet af specifikke applikationer uden at betale for et certifikat eller et abonnement.

Den indledende vektor for at omfatte kunne involvere et JavaScript, der udløses ved at klikke på downloadknapperne på de overtrådte websteder. Som følge heraf vil et kompromitteret .ZIP-arkiv blive slettet på brugerens system. Den vil indeholde en eksekverbar fil, der ved lancering vil udløse adskillige malware-trusler, inklusive PrivateLoader.

Styring af truslen udføres via et administratorpanel, der er oprettet med AdminLTE 3. Angriberne kan vælge nyttelasten leveret via loaderen, de målrettede steder og lande, downloadlinkene til den truende nyttelast, den brugte kryptering til kommunikation med kommandoen- and-Control (C2, C&C) servere og mere.