PrivateLoader Troijalainen
Tuntemattomat kyberrikolliset ovat tarjonneet tehokkaan latausrasituksen muille hakkeriasuille asennuskohtaisessa järjestelmässä. Tämä tarkoittaa, että uhan luojat saavat asiakkailtaan maksuja uhrien ja onnistuneesti rikottujen laitteiden määrän perusteella. Uhkaa seurataan PrivateLoaderina, ja sitä on käytetty hyökkäysoperaatioissa ainakin toukokuusta 2021 lähtien.
Loader-haittaohjelmakantoja käytetään tyypillisesti hyökkäysten alkuvaiheessa ja ne toimivat toimitusjärjestelmänä uhkaavampien seuraavan vaiheen vioittuneille hyötykuormille. Mitä tulee erityisesti PrivateLoaderiin, sen on havaittu hakevan ja ottavan käyttöön Smokeloader- , Redline- ja Vidar -muunnelmia.
Smokeloaderissa on samanlainen lataustoiminto, mutta se voi myös suorittaa tietovarkauksia ja tiedustelutoimintoja. Vidar on luokiteltu vakoiluohjelmiksi ja se pystyy poimimaan erilaisia tietoja, kuten salasanoja, arkaluontoisia asiakirjoja ja digitaalisen lompakon tietoja. Mitä tulee Redlineen, se on uhka, joka keskittyy uhrien valtakirjojen keräämiseen.
Jakelu ja yksityiskohdat
Intel 471:n tutkijoiden julkaiseman raportin mukaan PrivateLoaderia levitetään enimmäkseen vaarantuneiden lataussivustojen ja murtuneiden ohjelmistotuotteiden kautta. Nämä suosittujen ohjelmistosovellusten asetetut versiot voidaan yhdistää oletettujen avaingeneraattoreiden, ohjelmien, joiden avulla käyttäjät voivat laittomasti avata tiettyjen sovellusten kaikki toiminnot maksamatta sertifikaatista tai tilauksesta, rinnalle.
Alkuperäinen koostuva vektori voi sisältää JavaScriptin, joka laukeaa, kun rikotun verkkosivuston latauspainikkeita napsautetaan. Tämän seurauksena vaarantunut .ZIP-arkisto pudotetaan käyttäjän järjestelmään. Se sisältää suoritettavan tiedoston, joka käynnistää käynnistettäessä useita haittaohjelmauhkia, mukaan lukien PrivateLoader.
Uhkien hallinta tapahtuu AdminLTE 3:lla luodun järjestelmänvalvojan paneelin kautta. Hyökkääjät voivat valita lataajan kautta toimitetun hyötykuorman, kohdepaikat ja maat, uhkaavan hyötykuorman latauslinkit, Command-viestinnässä käytetyn salauksen. and-Control (C2, C&C) palvelimet ja paljon muuta.
